Door matige beveiliging in de instapversie van iDEAL is het mogelijk om gratis spullen te bestellen door een betaalbevestiging te simuleren. Microsoft, Internet Explorer, Firefox en Chrome schrappen digitaal certificaat DigiNotar als gevolg op misbruik van een uitgegeven beveiligingscertificaat waarmee het Iraanse regime Gmail-verkeer aftapt.
iDeal
Op de betaalpagina van een webshop is in de broncode een verwijzing te vinden naar de pagina die de betalingsbevestiging aan de klant toont en een mail naar de verkoper stuurt. Deze webpagina mag alleen opgeroepen worden nadat een klant in de betaalomgeving van iDEAL is geweest en de transactie succesvol heeft afgerond.
Maar, door de url te kopiëren en direct vanaf het besteloverzicht in de browser aan te roepen gedraagt de website zich alsof dat inderdaad gebeurd is.
DigiNotar
Het schrappen volgt op de bekendmaking dat een beveiligingscertificaat voor het domein Google.com is nagemaakt, waarbij gebruik is gemaakt van de infrastructuur van het Nederlandse DigiNotar. Dit nepcertificaat stelde de Iraanse instanties in staat om al het Gmail verkeer af te tappen. Onmerkbaar, want terwijl de gebruikers de indruk hadden dat ze direct met Gmail verbonden waren, communiceerden ze in werkelijkheid met Gmail via de servers van de Iraanse overheid.
Het is op dit moment onduidelijk of het verstrekken van dit nepcertificaat kon gebeuren door een hack of door slechte procedures bij DigiNotar.
