Een beveiligingslek in een plug-in voor webwinkels maakt het mogelijk voor aanvallers om gratis cadeaubonnen te genereren en daarmee producten in de winkel aan te schaffen. Hoewel een beveiligingsupdate voor het probleem beschikbaar is, hebben de meeste webwinkels die nog niet geïnstalleerd.

Dat meldt securitybedrijf Wordfence. Het probleem is aanwezig in "Smart Coupons", een plug-in voor WooCommerce. WooCommerce is weer een zeer populaire plug-in voor op WordPress-gebaseerde webwinkels. Via Smart Coupons kunnen webwinkels tegoed- en cadeaubonnen voor hun klanten genereren en beheren. Volgens de ontwikkelaars maken meer dan 15.000 webwinkels dagelijks gebruik van de plug-in.

Een kwetsbaarheid in Smart Coupons maakt het mogelijk voor een ongeauthenticeerde aanvaller om zichzelf cadeaubonnen van willekeurige waarde te sturen, waarmee vervolgens producten in de webwinkel zijn aan te schaffen. Op 21 februari kwamen de ontwikkelaars met een beveiligingsupdate (versie 4.6.5). Twee weken later blijkt dat bijna negentig procent van de webwinkels met Smart Coupons nog steeds een kwetsbare versie van de plug-in draait.

Wordfence waarschuwt dat het lastig is om de frauduleuze cadeaubonnen te verwijderen. Na de installatie van de beveiligingsupdate zijn deze bonnen namelijk nog steeds geldig. De beheerder moet elke frauduleuze cadeaubon verwijderen om misbruik tegen te gaan. Voor webwinkels die veel met cadeaubonnen werken is het echter niet meteen duidelijk welke frauduleus zijn en welke niet, stelt onderzoeker Mikey Veenstra.