Payment Service Provider MultiSafepay werd eerder deze maand getroffen door een storing. Het technische mankement had tot gevolg dat alle aangesloten merchants, die door MultiSafepay de online betalingen voor hun webwinkel laten verzorgen, geen betaling konden ontvangen.
Navraag bij MultiSafepay leert dat er sprake is geweest van een DNS storing. “Er is routine-onderhoud geweest op de naamserver van onze hostingpartij. Door een aanpassing is hierbij de naamserver (DNS) van Multisafepay.com naar een lege file gestuurd.” Aanvullend laat MultiSafepay weten dat ‘er geen beveiligingsrisico’s zijn geweest tijdens de storing’.
De oorzaak van de storing wordt duidelijk bij een derde partij neergelegd, de hostingprovider heeft tijdens ‘routine-onderhoud’ een fout gemaakt. Dat er ‘geen beveiligingsrisico’s’ zijn geweest is een zegen voor de psp, zeker met een betaalproduct als Fast Checkout. MultiSafepay Fast Checkout is een ideaal en snel online betaalproduct, maar er worden gegevens van zowel de merchant als de online consument opgeslagen. Interessante data voor cybercriminelen.
Het probleem is inmiddels verholpen en de psp laat weten dat er geen gegevens gelekt zijn. Daarmee lijkt MultiSafepay dus zeer goed weg te komen, maar is daarmee de kous af? “Geenszins”, zo stelt IT-Security specialist en PCI-DSS auditor (QSA) Vincent Ossewaarde van Fortytwo, “in de reactie van de psp zien we nu juist allerlei reden om extra licht te laten schijnen op de beveiliging van een psp en de rol van haar hosting partijen.”
En dat is exact wat Ossewaarde voor internetkassa.nu doet. In een tweeluik is de case van MultiSafepay aanleiding om de beveiliging en de risico’s voor psp’s onder de loep te nemen. Vandaag deel 1: ‘Zonder goed werkende DNS-servers zijn allerlei vormen van attacks mogelijk.’
“In het e-commerce-landschap nemen PSP’s inmiddels een ontzettend belangrijke positie in. Ze zorgen ervoor dat merchants hun bedrijven kunnen runnen en dat consumenten betalingen kunnen verrichten. Er is allerlei verschillende regelgeving op het gebied van PSP’s, maar die is niet eenduidig: sommige PSP’s moeten voldoen aan eisen van de Nederlandse Bank, anderen zijn PCI-DSS compliant en weer anderen hoeven helemaal niets, maar nemen zelf initiatief om hun processen en procedures zo goed mogelijk in te richten.
Informatiebeveiliging speelt daarbij natuurlijk een hele belangrijke rol. Je moet er van uitgaan dat merchants op een veilige manier met hun PSP’s kunnen communiceren en dat gegevens van consumenten goed beveiligd zijn. Informatiebeveiliging lijkt dan een heel ruim begrip, maar het is eigenlijk heel precies gedefinieerd.
In de theorie over informatiebeveiliging noemt men het de zogenaamde CIA-triangle. De C staat voor Confidentiality, de I voor Integrity en de A voor Availability. Alledrie de componenten zijn sterk met elkaar verbonden en vormen met elkaar de basis voor beleid ten aanzien van security. In de meeste beveiligingsstandaarden wordt deze indeling gebruikt voor het formuleren van maatregelen, maar het wordt óók vaak gebruikt als toetsingscriterium voor het beoordelen van de beveiliging. Je kunt je dus afvragen hoe goed een PSP scoort als het gaat om confidentialiteit (het geheim houden van gegevens), integriteit (het juist verwerken van transacties) en availability (het beschikbaar zijn van het systeem).
Het is duidelijk dat de beschikbaarheid van deze PSP in het geding kwam door een aanpassing in de DNS-server van de hostingprovider. Zonder de details te kennen over deze case zou ook de integriteit in het geding kunnen zijn gekomen. DNS-servers worden gebruikt om merchants en consumenten naar de juiste servers te sturen en vormen -samen met certificaten- een belangrijk onderdeel van de informatiebeveiliging. Zonder goed werkende DNS-servers zijn allerlei vormen van attacks mogelijk, waaronder Man-in-the-Middle-attacks. In sommige gevallen zijn ook SSL-certificaten totaal zinloos, omdat SSL alléén iets toevoegt als de DNS-servers goed werken.”
Deze gastbijdrage is tot stand gekomen in samenwerking met Vincent Ossewaarde,IT-Security specialist en PCI-DSS auditor (QSA) van Fortytwo. In het aankomende artikel gaat Ossewaarde dieper in op de gevolgen van een dergelijke storing voor merchants en de verantwoordelijkheid van een psp.
