A_A Geplaatst: 16 oktober 2009 A_A 93 33 Geplaatst: 16 oktober 2009 Maar doe dat wel voordat het je echt geld kost: http://www.nu.nl/internet/2103147/hackers-bestellen-pizzas-cent.html Hackers bestellen pizza's voor een cent Uitgegeven: 16 oktober 2009 09:32 Laatst gewijzigd: 16 oktober 2009 10:19 AMSTERDAM - Honderden studenten hebben maandenlang bijna gratis pizza's kunnen bestellen via de website Justeat.nl. Studenten hadden de site van de thuisbezorgdienst gekraakt, zodat ze per keer slechts één of vijf cent hoefden af te rekenen. © Inertia Stock"Het zijn waarschijnlijk de slimste jongetjes van de klas geweest die het lek in ons systeem ontdekt hebben", zo zegt directeur Laurens Groendijk van Just-Eat vrijdag in De Telegraaf. Het lek zit in het internetbetaalsysteem Ideal. "Zodra ze een bestelling plaatsen en de betaling regelen, verhuizen ze naar een andere pagina op de website en zetten ze de eindafrekening op een stuiver. Dat bedrag wordt vervolgens door de bank bij de besteller afgeschreven", aldus Groenendijk. Schade Vooral studentenclubjes uit Groningen, Breukelen en Utrecht hebben misbruik gemaakt van het lek. De schade loopt mogelijk op tot 30.000 euro. De directeur van Just-Eat wil dat de studenten alsnog voor hun bestelling betalen. Groenendijk laat weten dat er momenteel "met man en macht" gewerkt wordt aan de beveiliging van Justeat.nl. Always think beyond stage 1. Link naar reactie
Maarten Geplaatst: 16 oktober 2009 Maarten 1,1k 80 Geplaatst: 16 oktober 2009 Je kunt ook gewoon de richtlijnen van de bank volgen, die zijn er speciaal om dit soort dingen te voorkomen. Je bent natuurlijk wel sneller klaar als je de richtlijnen niet volgt, maar dit is dan de consequentie... https://www.sslcertificaten.nl | https://www.cryptoshop.nl Link naar reactie
Matthijs Huisman Geplaatst: 16 oktober 2009 Matthijs Huisman 307 12 Geplaatst: 16 oktober 2009 Vervelend voor Just-Eat.nl, maar als ik even nadenk kan ik bijna zeker stellen hoe ze dit gedaan hebben. Verwacht dat er in de HTML een bedrag wordt gepost naar de iDeal betaling, als je die in de HTML aanpast naar een cent heb je goedkoop eten... Overigens ook wel benieuwd of het zo is gegaan... ;D Batterijen en Opladers voor telefoons. Link naar reactie
fvddungen Geplaatst: 16 oktober 2009 fvddungen 1,7k 95 Geplaatst: 16 oktober 2009 Vervelend voor Just-Eat.nl, maar als ik even nadenk kan ik bijna zeker stellen hoe ze dit gedaan hebben. Verwacht dat er in de HTML een bedrag wordt gepost naar de iDeal betaling, als je die in de HTML aanpast naar een cent heb je goedkoop eten... Overigens ook wel benieuwd of het zo is gegaan... ;D Helaas is het niet zo makkelijk. In de hashcode zitten namelijk de bedragen verwerkt. En zonder de sleutel is het eigenlijk onmogelijk om zelf de hashcode te genereren. Anders zou elke webwinkel onveilig zijn. Zelfstandige loonslaaf Link naar reactie
llevering Geplaatst: 16 oktober 2009 llevering 87 5 Geplaatst: 16 oktober 2009 De truck zit nog een stap voor iDeal. Wat ik heb begrepen kon je in je bestel overzicht het totaal bedrag gewoon aanpassen, met behulp van een (veel gebruikte) plug-in voor Firefox. Daarna werd er een betaling van gemaakt door JustEat die (met correcte hash) werd verstuurd naar de bank. Tsja beetje onhandig, duur maar effectief leergeld waarschijnlijk. Link naar reactie
R.I.P. | Peter Bonjernoor Geplaatst: 16 oktober 2009 R.I.P. | Peter Bonjernoor 8,7k 582 Geplaatst: 16 oktober 2009 Wat ik heb begrepen kon je in je bestel overzicht het totaal bedrag gewoon aanpassen, met behulp van een (veel gebruikte) plug-in voor Firefox. Ouch...pijnlijk foutje. Lang leve FireBug! ;) Ligt het trouwens aan mij, of lijkt het logo wel 'Just Fat' te zeggen? IN MEMORIAM Link naar reactie
Matthijs Huisman Geplaatst: 16 oktober 2009 Matthijs Huisman 307 12 Geplaatst: 16 oktober 2009 Haha, zo zou het ook kunnen, komt op ongeveer hetzelfde principe neer. Benieuwd of ze het voor elkaar krijgen om die studenten hier alsnog voor te laten betalen. Batterijen en Opladers voor telefoons. Link naar reactie
1889 Geplaatst: 16 oktober 2009 1889 220 10 Geplaatst: 16 oktober 2009 De directeur van Just-Eat wil dat de studenten alsnog voor hun bestelling betalen. Slap hoor. Is het niet veel beter als je de gratis publiciteit gebruikt om je pizza's nog wat onder de aandacht te brengen, je verlies neemt en de student die het bedacht heeft inhuurt om een beter betalingssysteem te bouwen? Link naar reactie
chielsen Geplaatst: 16 oktober 2009 chielsen 305 2 Geplaatst: 16 oktober 2009 Zie http://tweakers.net/nieuws/63126/veertig-bedrijven-kunnen-slachtoffer-zijn-van-beveilingslek-just-eat.html Ligt aan de betalingsprovider dibs, die accepteert zomaar bedragen. Zal denk ik wel aan de client side weer te controleren zijn maar dat deed just eat vast niet. Hele domme beveiligingsfout. Vooral slecht van dibs, waar ik trouwens vaker slechte verhalen over hoor. Neem gewoon lekker bij een nederlandse bank, werkt goed. We Moji - Gratis Enquetes maken Link naar reactie
melchior Geplaatst: 16 oktober 2009 melchior 107 3 Geplaatst: 16 oktober 2009 Als je serieus aan je beveiliging wilt werken is dit wellicht een interessante tool: http://autonessus.com/ Het is ontwikkeld door een ex collega van mij en bied veel mogelijkheden om (verborgen) security issues te vinden op je website. De klanten waar deze tool gebruikt word zijn voornamelijk financials dus banken enz. Op zoek naar nieuwe/leuke uitdagingen in de IT of gerelateerd. Link naar reactie
Yorick10 Geplaatst: 17 oktober 2009 Yorick10 69 7 Geplaatst: 17 oktober 2009 Als je serieus aan je beveiliging wilt werken is dit wellicht een interessante tool: http://autonessus.com/ Het is ontwikkeld door een ex collega van mij en bied veel mogelijkheden om (verborgen) security issues te vinden op je website. De klanten waar deze tool gebruikt word zijn voornamelijk financials dus banken enz. Tja, in hoeverre zo'n tool een grove implementatiefout als deze zou opsporen weet ik niet, maar dit was zo fundamenteel fout dat de ontwikkelaars zich gewoon flink mogen schamen ;) Blind vertrouwen op data die de user kan manipuleren is gewoon niet handig, zeker niet als het gaat om iets gevoelligs als het eindbedrag... Link naar reactie
melchior Geplaatst: 17 oktober 2009 melchior 107 3 Geplaatst: 17 oktober 2009 Hmm interessant, een reus en een kneus gekregen voor het posten van een link naar een tool die volgens 'iemand' irrelevant zou zijn voor het onderwerp; zet dan even je naam erbij. Ik wil daar weleens over babbelen :) /offtopic Op zoek naar nieuwe/leuke uitdagingen in de IT of gerelateerd. Link naar reactie
R.I.P. | Peter Bonjernoor Geplaatst: 17 oktober 2009 R.I.P. | Peter Bonjernoor 8,7k 582 Geplaatst: 17 oktober 2009 Hmm interessant, een reus en een kneus gekregen voor het posten van een link naar een tool die volgens 'iemand' irrelevant zou zijn voor het onderwerp; zet dan even je naam erbij. Ik wil daar weleens over babbelen :) Geen van beide komen van mij, maar ik ben eht er wel mee eens dat de tool in dit geval vrij irrelevant was. Dit was geen configuratie- of infrastructureel probleem, maar gewoon een brak geprogrammeerde shopping cart. Dat has geen Nessus eruit gehaald, auto of gewoon. IN MEMORIAM Link naar reactie
Leon Vosmeijer Geplaatst: 27 oktober 2009 Leon Vosmeijer 22 0 Geplaatst: 27 oktober 2009 De truck zit nog een stap voor iDeal. Wat ik heb begrepen kon je in je bestel overzicht het totaal bedrag gewoon aanpassen, met behulp van een (veel gebruikte) plug-in voor Firefox. Daarna werd er een betaling van gemaakt door JustEat die (met correcte hash) werd verstuurd naar de bank. Tsja beetje onhandig, duur maar effectief leergeld waarschijnlijk. Wat ik ervan begrepen heb is dat de totaalprijs van de bestelling in een hidden input field werd gezet midden in de HTML. Dit is een vrij grove fout. Om die reden vind ik ook, dat niet de studenten het 'misgelopen' geld moeten terugbetalen, maar de ontwikkelaars van de betalingsmodule dit moeten doen. Even voor de record: Dit is mijn mening. Ik weet zelf ook wel dat de ontwikkelaars zichzelf beschermen na oplevering. Ik doe dat zelf tenslotte ook! Hmm interessant, een reus en een kneus gekregen voor het posten van een link naar een tool die volgens 'iemand' irrelevant zou zijn voor het onderwerp; zet dan even je naam erbij. Ik wil daar weleens over babbelen :) Geen van beide komen van mij, maar ik ben eht er wel mee eens dat de tool in dit geval vrij irrelevant was. Dit was geen configuratie- of infrastructureel probleem, maar gewoon een brak geprogrammeerde shopping cart. Dat has geen Nessus eruit gehaald, auto of gewoon. Het onderwerp van dit topic is "Laat hackers je betalingssysteem testen". Als Melchior vervolgens verwijst naar een bedrijf die dit actief doet, is het juist wel relevant. www.zeauw.nl - Bouwt websites die werken www.xill.nl - Maatwerk hosting oplossingen www.smsservicecenter.nl/maatwerk/ - Maatwerk op het gebied van sms diensten! www.kevinflorijn.nl - De nieuwste website van zanger Kevin Florijn Link naar reactie
R.I.P. | Peter Bonjernoor Geplaatst: 27 oktober 2009 R.I.P. | Peter Bonjernoor 8,7k 582 Geplaatst: 27 oktober 2009 Het onderwerp van dit topic is "Laat hackers je betalingssysteem testen". Als Melchior vervolgens verwijst naar een bedrijf die dit actief doet, is het juist wel relevant. De context is de hack op Just-Eat, en daarin is het totaal niet relevant. IN MEMORIAM Link naar reactie
Aanbevolen berichten
Maak een account aan of log in om te reageren
Je moet een lid zijn om een reactie te kunnen achterlaten
Account aanmaken
Registreer voor een nieuwe account in onze community. Het is erg gemakkelijk!
Registreer een nieuw accountInloggen
Heb je reeds een account? Log hier in.
Nu inloggen