Afgelopen dinsdag was in Webwereld.nl en Nu.nl een bericht te lezen waarin werd geschreven dat een drietal Nederlandse theaters door een fout van Basic Orange hun creditcardbetalingen hebben afgewikkeld via onbeveiligde sites.

Wij willen u als klant graag toelichten wat de oorzaak is van dit artikel. De journalist heeft zijn huiswerk goed gedaan, maar heeft daarbij een paar ongenuanceerde aannames gemaakt.

In alle in het artikel genoemde gevallen betrof het, het ontbreken van een zogenaamde beveiligde verbinding van de gebruikers computer naar de webserver toe. Deze verbinding biedt een mate van veiligheid waarbij het moeilijker wordt om gegevens die over het internet gaan te onderscheppen.

De beveiligde verbinding biedt een extra vertrouwen naar de consument, die een 'dicht sleutel-icoontje' ziet en daardoor vertrouwen heeft in een veilige betaling. Daarom hanteert Basic Orange ook de regel om deze verbinding bij alle betaal-omgevingen een beveiligde verbinding op te zetten.

Waar
Dit is de afgelopen periode in twee gevallen door een menselijke fout niet goed gegaan. Theater de Flint handelt, net als alle andere theater-websites die door Basic Orange zijn ontwikkeld, haar online verkoop altijd af in een beveiligde omgeving. Echter, tijdens de voorverkoop van het nieuwe seizoen van afgelopen weekend is gebruik gemaakt van een speciale voorverkoop-pagina. De link naar deze pagina is per ongeluk gemaakt naar de onbeveiligde pagina in plaats van naar de tevens bestaande beveiligde pagina's. Dit heeft vier dagen geduurd. Inmiddels vindt verkoop weer plaats via de 'gewone' beveiligde verkoop-pagina's.

Ook bij Schouwburg Almere betrof het een verkeerde verwijzing naar de onbeveiligde pagina, waar het een link naar de beveiligde omgeving had moeten zijn. Dit is ook door aanpassingen in de website veroorzaakt en uiteraard direct rechtgezet.

Niet waar
In het derde geval, het Zaantheater, vond de beveiliging 'onder water' plaats, waarbij de gegevens wel degelijk beveiligd werden verstuurd van de gebruiker naar de webserver, maar waarbij dit niet zichtbaar was voor bezoekers van de website. Hier was zodoende geen sprake van een onbeveiligde omgeving. Dit is door de betreffende journalist over het hoofd gezien.

De kans dat bij het ontbreken van deze tijdelijke beveiliging daadwerkelijk gegevens zijn onderschept is minimaal. De gehele verdere afhandeling van de betaling, inclusief de opslag van de gegevens, is overigens in alle gevallen volledig beveiligd. We sluiten ons dan ook aan bij de reacties van de meeste lezers van het artikel.

Voor eventuele verdere toelichting kunt u contact opnemen met uw contactpersoon bij Basic Orange.