Ik kwam vandaag onderstaande artikel tegen. In het kort worden webwinkels gebruikt om betaalgegevens te stelen van klanten. Als webwinkelier moet je er niet aan denken dat dit gebeurt.

https://www.security.nl/artikel/47232/1 ... inkel.html

Zelf denk ik dat je als webwinkelier verantwoordelijk bent voor deze betalingen. Ben echter geen jurist. Wat doen jullie om dergelijke aanvallen te voorkomen en hebben jullie al ervaring met beveiligingsproblemen in je webwinkel?

Sowieso betaald niemand bij mij met een creditcard (als ze dit via Paypal doen is dat een ander verhaal).

En misschien een idee voor Magento om in 2.0 dit beter te beveiligen. Maar om de optie creditcard toe te voegen, doe ik dus niet. Maar ja is de rest nog wel betrouwbaar?

Ze zoeken wat nieuws, omdat bijna niemand meer in die bank e-mails (en ik krijg er nogal wat in mijn spambox) trapt.

Als je leest hoe de hack werkt, zul je zien dat deze niet alleen creditcards treft! Hetzelfde phishing-opzetje is te misbruiken voor elk betaalsysteem waarbij een externe partij wordt gebruikt: in plaats van de betaalpagina van de webwinkel, een PSP of een bank, wordt een vervalste kopie getoond.

Ward schreef:Als je leest hoe de hack werkt, zul je zien dat deze niet alleen creditcards treft! Hetzelfde phishing-opzetje is te misbruiken voor elk betaalsysteem waarbij een externe partij wordt gebruikt: in plaats van de betaalpagina van de webwinkel, een PSP of een bank, wordt een vervalste kopie getoond.

Mogen ze op die andere site dat er wel bij zetten i.p.v. alleen maar zeggen over creditcards. Was mijn voorgevoel toch goed dat het alles betreft.

Heb er zelf ook een blog over geschreven waar het wel sterk naar voren komt dat dit elke winkelier kan treffen. Dit geval is enkel een voorbeeld. Het gevaar is dat dit straks vaker voor gaat komen.

Het is heel eenvoudig, een hacker komt in jouw webwinkel code. Vervolgens zorgt hij ervoor dat je na het plaatsen van de bestelling niet naar ideal, sisow, multisafepay, mollie of wat dan ook gaat, maar hij zorgt ervoor dat jouw klant uit komt op een pagina die er precies hetzelfde uit ziet. Ook de url verschilt maar 1 letter. Het grote verschil is echter dat het geld niet naar jou wordt overgemaakt, maar naar de hacker.

Jouw klant is te goeder trouw (ik zou er ook in trappen). Ik denk dus dat je als webwinkelier verantwoordelijk bent voor die schade. En dat kan nogal in de kosten lopen...

libertes schreef:Heb er zelf ook een blog over geschreven waar het wel sterk naar voren komt dat dit elke winkelier kan treffen. Dit geval is enkel een voorbeeld. Het gevaar is dat dit straks vaker voor gaat komen.

Dat denk ik ook.

Het is heel eenvoudig, een hacker komt in jouw webwinkel code. Vervolgens zorgt hij ervoor dat je na het plaatsen van de bestelling niet naar ideal, sisow, multisafepay, mollie of wat dan ook gaat, maar hij zorgt ervoor dat jouw klant uit komt op een pagina die er precies hetzelfde uit ziet. Ook de url verschilt maar 1 letter. Het grote verschil is echter dat het geld niet naar jou wordt overgemaakt, maar naar de hacker.

Begrijp mij niet verkeerd, wil nu niet overkomen als een muts, maar ik weet hoe het werkt. Ik ben ook programmeur (alleen in vrouwelijke vorm ) en ook al ben ik zelf voor updates (daarom boos geweest op Sisow, maar dat is even een ander verhaal) en goed beveiligen van de site. Toch zal er altijd wel ergens een lekje zijn.

Jouw klant is te goeder trouw (ik zou er ook in trappen). Ik denk dus dat je als webwinkelier verantwoordelijk bent voor die schade. En dat kan nogal in de kosten lopen...

Ik denk dat iedereen er wel eens in kan trappen ook al doe je nog zo je best om erop te letten. Maar als dit nog erger wordt en je bent als webshophouder er verantwoordelijk voor? Terwijl alles up-to-date is en je geen kant op kunt? Dan houdt het een beetje op met bestaan voor veel mensen, want de kosten zijn dan niet te overzien.
Daarbij gaat er dan ook gebeuren dat je niet meer gaat leveren tot je je geld ziet.

@Zyra
Wanneer ik bij een fysieke winkel afreken en de pinautomaat is gehackt, dan blijkt me dat toch het risico van de winkel. Nogmaals, ik ben geen jurist, maar de consument kan er zelf weinig aan doen. Vandaar dat de beveiliging van de webwinkel ook een zo onder gewaardeerd punt is.

libertes schreef:@Zyra
Wanneer ik bij een fysieke winkel afreken en de pinautomaat is gehackt, dan blijkt me dat toch het risico van de winkel. Nogmaals, ik ben geen jurist, maar de consument kan er zelf weinig aan doen. Vandaar dat de beveiliging van de webwinkel ook een zo onder gewaardeerd punt is.

Dan vergoed de bank dat, het zijn namelijk aparaten die direct in verbinding staan met provider.
de winkel krijgt zijn geld ook pas later zover ik weet.

Bij webwinkels is de verantwoordelijkheid bij de webwinkelier, immers verzorgt hij de verbinding en techniek.

Maurice schreef:

libertes schreef:@Zyra
Wanneer ik bij een fysieke winkel afreken en de pinautomaat is gehackt, dan blijkt me dat toch het risico van de winkel. Nogmaals, ik ben geen jurist, maar de consument kan er zelf weinig aan doen. Vandaar dat de beveiliging van de webwinkel ook een zo onder gewaardeerd punt is.

Dan vergoed de bank dat, het zijn namelijk aparaten die direct in verbinding staan met provider.
de winkel krijgt zijn geld ook pas later zover ik weet.

Bij webwinkels is de verantwoordelijkheid bij de webwinkelier, immers verzorgt hij de verbinding en techniek.

En wat als het gebeurt bij webwinkeliers die onder licentie werken? Zoals bij Mijnwebwinkel, Biedmeer etc. Waar valt het dan onder?

Op dat moment huur je een product van een ander, deze heeft dan ook de verantwoordelijkheid om het dichtgetimmerd te houden. Dus dan is die partij aansprakelijk.

Zodra je ergens hosting neemt, en daar zelf een bijvoorbeeld magento op installeert maar never update en daardoor gehackt wordt. (ook al date je wel up overigens) dan ben je zelf verantwoordelijk aangezien je zelf de software exploiteert en verwerkt.

Maurice, maar de getroffen consument heeft geen enkele relatie met de provider van de webwinkel. Daarvoor is ketenaansprakelijkheid bedacht: de consument mag de webwinkelier erop aanspreken en die moet het maar verder met de provider regelen. Dat geldt eigenlijk voor elke derde die een onderneming inhuurt.

Dat is correct, de webwinkel uitbater zal zelf zijn claim moeten verleggen naar zijn leverancier.