Maar doe dat wel voordat het je echt geld kost:

http://www.nu.nl/internet/2103147/hackers-bestellen-pizzas-cent.html

Hackers bestellen pizza's voor een cent

Uitgegeven: 16 oktober 2009 09:32

Laatst gewijzigd: 16 oktober 2009 10:19

 

AMSTERDAM - Honderden studenten hebben maandenlang bijna gratis pizza's kunnen bestellen via de website Justeat.nl. Studenten hadden de site van de thuisbezorgdienst gekraakt, zodat ze per keer slechts één of vijf cent hoefden af te rekenen.

© Inertia Stock"Het zijn waarschijnlijk de slimste jongetjes van de klas geweest die het lek in ons systeem ontdekt hebben", zo zegt directeur Laurens Groendijk van Just-Eat vrijdag in De Telegraaf.

 

Het lek zit in het internetbetaalsysteem Ideal. "Zodra ze een bestelling plaatsen en de betaling regelen, verhuizen ze naar een andere pagina op de website en zetten ze de eindafrekening op een stuiver. Dat bedrag wordt vervolgens door de bank bij de besteller afgeschreven", aldus Groenendijk.

 

 

 

 

Schade

 

Vooral studentenclubjes uit Groningen, Breukelen en Utrecht hebben misbruik gemaakt van het lek. De schade loopt mogelijk op tot 30.000 euro. De directeur van Just-Eat wil dat de studenten alsnog voor hun bestelling betalen.

 

Groenendijk laat weten dat er momenteel "met man en macht" gewerkt wordt aan de beveiliging van Justeat.nl.

Je kunt ook gewoon de richtlijnen van de bank volgen, die zijn er speciaal om dit soort dingen te voorkomen. Je bent natuurlijk wel sneller klaar als je de richtlijnen niet volgt, maar dit is dan de consequentie...

Vervelend voor Just-Eat.nl, maar als ik even nadenk kan ik bijna zeker stellen hoe ze dit gedaan hebben. Verwacht dat er in de HTML een bedrag wordt gepost naar de iDeal betaling, als je die in de HTML aanpast naar een cent heb je goedkoop eten...

 

Overigens ook wel benieuwd of het zo is gegaan... ;D

Vervelend voor Just-Eat.nl, maar als ik even nadenk kan ik bijna zeker stellen hoe ze dit gedaan hebben. Verwacht dat er in de HTML een bedrag wordt gepost naar de iDeal betaling, als je die in de HTML aanpast naar een cent heb je goedkoop eten...

 

Overigens ook wel benieuwd of het zo is gegaan... ;D

Helaas is het niet zo makkelijk. In de hashcode zitten namelijk de bedragen verwerkt. En zonder de sleutel is het eigenlijk onmogelijk om zelf de hashcode te genereren. Anders zou elke webwinkel onveilig zijn.

De truck zit nog een stap voor iDeal. Wat ik heb begrepen kon je in je bestel overzicht het totaal bedrag gewoon aanpassen, met behulp van een (veel gebruikte) plug-in voor Firefox. Daarna werd er een betaling van gemaakt door JustEat die (met correcte hash) werd verstuurd naar de bank. Tsja beetje onhandig, duur maar effectief leergeld waarschijnlijk.

Wat ik heb begrepen kon je in je bestel overzicht het totaal bedrag gewoon aanpassen, met behulp van een (veel gebruikte) plug-in voor Firefox.

 

Ouch...pijnlijk foutje. Lang leve FireBug! ;)

 

Ligt het trouwens aan mij, of lijkt het logo wel 'Just Fat' te zeggen?

Haha, zo zou het ook kunnen, komt op ongeveer hetzelfde principe neer. Benieuwd of ze het voor elkaar krijgen om die studenten hier alsnog voor te laten betalen.

 

De directeur van Just-Eat wil dat de studenten alsnog voor hun bestelling betalen.

 

Slap hoor. Is het niet veel beter als je de gratis publiciteit gebruikt om je pizza's nog wat onder de aandacht te brengen, je verlies neemt en de student die het bedacht heeft inhuurt om een beter betalingssysteem te bouwen?

Zie http://tweakers.net/nieuws/63126/veertig-bedrijven-kunnen-slachtoffer-zijn-van-beveilingslek-just-eat.html

 

Ligt aan de betalingsprovider dibs, die accepteert zomaar bedragen. Zal denk ik wel aan de client side weer te controleren zijn maar dat deed just eat vast niet.

Hele domme beveiligingsfout. Vooral slecht van dibs, waar ik trouwens vaker slechte verhalen over hoor.

 

Neem gewoon lekker bij een nederlandse bank, werkt goed.

Als je serieus aan je beveiliging wilt werken is dit wellicht een interessante tool: http://autonessus.com/

Het is ontwikkeld door een ex collega van mij en bied veel mogelijkheden om (verborgen) security issues te vinden op je website.

De klanten waar deze tool gebruikt word zijn voornamelijk financials dus banken enz.

Als je serieus aan je beveiliging wilt werken is dit wellicht een interessante tool: http://autonessus.com/

Het is ontwikkeld door een ex collega van mij en bied veel mogelijkheden om (verborgen) security issues te vinden op je website.

De klanten waar deze tool gebruikt word zijn voornamelijk financials dus banken enz.

Tja, in hoeverre zo'n tool een grove implementatiefout als deze zou opsporen weet ik niet, maar dit was zo fundamenteel fout dat de ontwikkelaars zich gewoon flink mogen schamen ;) Blind vertrouwen op data die de user kan manipuleren is gewoon niet handig, zeker niet als het gaat om iets gevoelligs als het eindbedrag...

Hmm interessant, een reus en een kneus gekregen voor het posten van een link naar een tool die volgens 'iemand' irrelevant zou zijn voor het onderwerp; zet dan even je naam erbij. Ik wil daar weleens over babbelen :)

 

/offtopic

Hmm interessant, een reus en een kneus gekregen voor het posten van een link naar een tool die volgens 'iemand' irrelevant zou zijn voor het onderwerp; zet dan even je naam erbij. Ik wil daar weleens over babbelen :)

 

Geen van beide komen van mij, maar ik ben eht er wel mee eens dat de tool in dit geval vrij irrelevant was. Dit was geen configuratie- of infrastructureel probleem, maar gewoon een brak geprogrammeerde shopping cart. Dat has geen Nessus eruit gehaald, auto of gewoon.

De truck zit nog een stap voor iDeal. Wat ik heb begrepen kon je in je bestel overzicht het totaal bedrag gewoon aanpassen, met behulp van een (veel gebruikte) plug-in voor Firefox. Daarna werd er een betaling van gemaakt door JustEat die (met correcte hash) werd verstuurd naar de bank. Tsja beetje onhandig, duur maar effectief leergeld waarschijnlijk.

 

Wat ik ervan begrepen heb is dat de totaalprijs van de bestelling in een hidden input field werd gezet midden in de HTML. Dit is een vrij grove fout. Om die reden vind ik ook, dat niet de studenten het 'misgelopen' geld moeten terugbetalen, maar de ontwikkelaars van de betalingsmodule dit moeten doen.

Even voor de record: Dit is mijn mening. Ik weet zelf ook wel dat de ontwikkelaars zichzelf beschermen na oplevering. Ik doe dat zelf tenslotte ook!

 

Hmm interessant, een reus en een kneus gekregen voor het posten van een link naar een tool die volgens 'iemand' irrelevant zou zijn voor het onderwerp; zet dan even je naam erbij. Ik wil daar weleens over babbelen :)

 

Geen van beide komen van mij, maar ik ben eht er wel mee eens dat de tool in dit geval vrij irrelevant was. Dit was geen configuratie- of infrastructureel probleem, maar gewoon een brak geprogrammeerde shopping cart. Dat has geen Nessus eruit gehaald, auto of gewoon.

 

Het onderwerp van dit topic is "Laat hackers je betalingssysteem testen". Als Melchior vervolgens verwijst naar een bedrijf die dit actief doet, is het juist wel relevant.

Het onderwerp van dit topic is "Laat hackers je betalingssysteem testen". Als Melchior vervolgens verwijst naar een bedrijf die dit actief doet, is het juist wel relevant.

 

De context is de hack op Just-Eat, en daarin is het totaal niet relevant.