Show Sidebar

Laat hackers je betalingssysteem testen

Door A_A, in Off Topic

Start een nieuw topic

Aanbevolen berichten

A_A Senior

A_A

Geplaatst:

A_A

Maar doe dat wel voordat het je echt geld kost:

http://www.nu.nl/internet/2103147/hackers-bestellen-pizzas-cent.html

Hackers bestellen pizza's voor een cent

Uitgegeven: 16 oktober 2009 09:32

Laatst gewijzigd: 16 oktober 2009 10:19

 

AMSTERDAM - Honderden studenten hebben maandenlang bijna gratis pizza's kunnen bestellen via de website Justeat.nl. Studenten hadden de site van de thuisbezorgdienst gekraakt, zodat ze per keer slechts één of vijf cent hoefden af te rekenen.

© Inertia Stock"Het zijn waarschijnlijk de slimste jongetjes van de klas geweest die het lek in ons systeem ontdekt hebben", zo zegt directeur Laurens Groendijk van Just-Eat vrijdag in De Telegraaf.

 

Het lek zit in het internetbetaalsysteem Ideal. "Zodra ze een bestelling plaatsen en de betaling regelen, verhuizen ze naar een andere pagina op de website en zetten ze de eindafrekening op een stuiver. Dat bedrag wordt vervolgens door de bank bij de besteller afgeschreven", aldus Groenendijk.

 

 

 

 

Schade

 

Vooral studentenclubjes uit Groningen, Breukelen en Utrecht hebben misbruik gemaakt van het lek. De schade loopt mogelijk op tot 30.000 euro. De directeur van Just-Eat wil dat de studenten alsnog voor hun bestelling betalen.

 

Groenendijk laat weten dat er momenteel "met man en macht" gewerkt wordt aan de beveiliging van Justeat.nl.

Always think beyond stage 1.

Link naar reactie
fvddungen Legende

fvddungen

Geplaatst:

fvddungen

Vervelend voor Just-Eat.nl, maar als ik even nadenk kan ik bijna zeker stellen hoe ze dit gedaan hebben. Verwacht dat er in de HTML een bedrag wordt gepost naar de iDeal betaling, als je die in de HTML aanpast naar een cent heb je goedkoop eten...

 

Overigens ook wel benieuwd of het zo is gegaan... ;D

Helaas is het niet zo makkelijk. In de hashcode zitten namelijk de bedragen verwerkt. En zonder de sleutel is het eigenlijk onmogelijk om zelf de hashcode te genereren. Anders zou elke webwinkel onveilig zijn.

Zelfstandige loonslaaf

Link naar reactie
llevering Medior

llevering

Geplaatst:

llevering

De truck zit nog een stap voor iDeal. Wat ik heb begrepen kon je in je bestel overzicht het totaal bedrag gewoon aanpassen, met behulp van een (veel gebruikte) plug-in voor Firefox. Daarna werd er een betaling van gemaakt door JustEat die (met correcte hash) werd verstuurd naar de bank. Tsja beetje onhandig, duur maar effectief leergeld waarschijnlijk.

Link naar reactie
1889 Senior

1889

Geplaatst:

1889

 

De directeur van Just-Eat wil dat de studenten alsnog voor hun bestelling betalen.

 

Slap hoor. Is het niet veel beter als je de gratis publiciteit gebruikt om je pizza's nog wat onder de aandacht te brengen, je verlies neemt en de student die het bedacht heeft inhuurt om een beter betalingssysteem te bouwen?

Link naar reactie
chielsen Senior

chielsen

Geplaatst:

chielsen

Zie http://tweakers.net/nieuws/63126/veertig-bedrijven-kunnen-slachtoffer-zijn-van-beveilingslek-just-eat.html

 

Ligt aan de betalingsprovider dibs, die accepteert zomaar bedragen. Zal denk ik wel aan de client side weer te controleren zijn maar dat deed just eat vast niet.

Hele domme beveiligingsfout. Vooral slecht van dibs, waar ik trouwens vaker slechte verhalen over hoor.

 

Neem gewoon lekker bij een nederlandse bank, werkt goed.

We Moji - Gratis Enquetes maken
Link naar reactie
Yorick10 Senior

Yorick10

Geplaatst:

Yorick10

Als je serieus aan je beveiliging wilt werken is dit wellicht een interessante tool: http://autonessus.com/

Het is ontwikkeld door een ex collega van mij en bied veel mogelijkheden om (verborgen) security issues te vinden op je website.

De klanten waar deze tool gebruikt word zijn voornamelijk financials dus banken enz.

Tja, in hoeverre zo'n tool een grove implementatiefout als deze zou opsporen weet ik niet, maar dit was zo fundamenteel fout dat de ontwikkelaars zich gewoon flink mogen schamen ;) Blind vertrouwen op data die de user kan manipuleren is gewoon niet handig, zeker niet als het gaat om iets gevoelligs als het eindbedrag...

Link naar reactie
melchior Senior

melchior

Geplaatst:

melchior

Hmm interessant, een reus en een kneus gekregen voor het posten van een link naar een tool die volgens 'iemand' irrelevant zou zijn voor het onderwerp; zet dan even je naam erbij. Ik wil daar weleens over babbelen :)

 

/offtopic

Op zoek naar nieuwe/leuke uitdagingen in de IT of gerelateerd.

Link naar reactie
R.I.P. | Peter Bonjernoor Legende

R.I.P. | Peter Bonjernoor

Geplaatst:

R.I.P. | Peter Bonjernoor

Hmm interessant, een reus en een kneus gekregen voor het posten van een link naar een tool die volgens 'iemand' irrelevant zou zijn voor het onderwerp; zet dan even je naam erbij. Ik wil daar weleens over babbelen :)

 

Geen van beide komen van mij, maar ik ben eht er wel mee eens dat de tool in dit geval vrij irrelevant was. Dit was geen configuratie- of infrastructureel probleem, maar gewoon een brak geprogrammeerde shopping cart. Dat has geen Nessus eruit gehaald, auto of gewoon.

IN MEMORIAM

Link naar reactie
Leon Vosmeijer Junior

Leon Vosmeijer

Geplaatst:

Leon Vosmeijer

De truck zit nog een stap voor iDeal. Wat ik heb begrepen kon je in je bestel overzicht het totaal bedrag gewoon aanpassen, met behulp van een (veel gebruikte) plug-in voor Firefox. Daarna werd er een betaling van gemaakt door JustEat die (met correcte hash) werd verstuurd naar de bank. Tsja beetje onhandig, duur maar effectief leergeld waarschijnlijk.

 

Wat ik ervan begrepen heb is dat de totaalprijs van de bestelling in een hidden input field werd gezet midden in de HTML. Dit is een vrij grove fout. Om die reden vind ik ook, dat niet de studenten het 'misgelopen' geld moeten terugbetalen, maar de ontwikkelaars van de betalingsmodule dit moeten doen.

Even voor de record: Dit is mijn mening. Ik weet zelf ook wel dat de ontwikkelaars zichzelf beschermen na oplevering. Ik doe dat zelf tenslotte ook!

 

Hmm interessant, een reus en een kneus gekregen voor het posten van een link naar een tool die volgens 'iemand' irrelevant zou zijn voor het onderwerp; zet dan even je naam erbij. Ik wil daar weleens over babbelen :)

 

Geen van beide komen van mij, maar ik ben eht er wel mee eens dat de tool in dit geval vrij irrelevant was. Dit was geen configuratie- of infrastructureel probleem, maar gewoon een brak geprogrammeerde shopping cart. Dat has geen Nessus eruit gehaald, auto of gewoon.

 

Het onderwerp van dit topic is "Laat hackers je betalingssysteem testen". Als Melchior vervolgens verwijst naar een bedrijf die dit actief doet, is het juist wel relevant.

www.zeauw.nl - Bouwt websites die werken

www.xill.nl - Maatwerk hosting oplossingen

www.smsservicecenter.nl/maatwerk/ - Maatwerk op het gebied van sms diensten!

www.kevinflorijn.nl - De nieuwste website van zanger Kevin Florijn

Link naar reactie

Maak een account aan of log in om te reageren

Je moet een lid zijn om een reactie te kunnen achterlaten

Account aanmaken

Registreer voor een nieuwe account in onze community. Het is erg gemakkelijk!

Registreer een nieuw account

Inloggen

Heb je reeds een account? Log hier in.

Nu inloggen
Ga naar topic overzicht
Hide Sidebar

  • Wil je onze Nieuwsflits ontvangen?
    Deze verzenden we elk kwartaal.

    Ja
  • higherlevel video

  • Wie is er online?
    0 leden, 122 Gasten

    Bekijk volledige lijst

  • Breng jouw businessplan naar een higher level!

    Op dit forum worden alle onderwerpen m.b.t. ondernemerschap besproken.

    • Stel jouw ondernemersvragen
    • Antwoorden/oplossingen van collega ondernemers
    • > 75.000 geregistreerde leden
    • > 100.000 bezoekers per maand
    • 24/7 bereikbaar / binnen < 6 uur antwoord
    •  Altijd gratis

  • Ook interessant:

    Ondernemersplein

    Ook interessant:

×
×
  • Nieuwe aanmaken...

Cookies op HigherLevel.nl

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.