Gepubliceerd: Maandag 27 oktober 2008
Het Britse bedrijf achter internetbetaalsysteem Click & Buy weigert commentaar op een veiligheidslek. Een Brabantse tiener maakte daardoor geld buit.
Toon volledig artikel
Dit heeft niets met de gevoeligheid van login gegevens te maken maar met een groffe fout van click en buy.
Het is te gek voor woorden dat je met een bestaande rekening nummer en nieuw account het complete bedrag wat op het oude account stond kunt koppelen naar het nieuwe account zonder hierbij een wachtwoord of iets dergelijks nodig te hebben.
Als het mee valt dan gaat het hier om die automatische incasso optie. Je maakt een account aan, geeft voor de afschrijving een rekeningnummer op van een nederlandse bankrekening en betalen maar op andermans kosten. Banken controleren namelijk niet of het bedrijf dat een contract heeft om geld af te schrijven daadwerkelijk een machtiging heeft en of het bedrag, rekeningnummer en naam wel correct zijn. Die verantwoordelijkheid leggen ze bij het bedrijf dat mag incasseren. Ja, en als die dan ook al nauwelijks moeite doet om die opdrachten te controleren, dan krijg je dit soort gerotzooi. Wat overigens iedere maand opnieuw voorkomt door het ontbreken van toezicht: afschrijvingen van rekeningen waar nooit toestemming voor is gegeven, dubbele afschrijvingen, afschrijvingen van veel te hoge bedragen, combinaties voor dit alles. En banken vertikken het al zolang als het systeem bestaat om controle uit te voeren, dat kost ze te veel geld en tijd. Dat gaat overigens nog lachen worden met het SEPA incasso, dan kan heel Europa straks het geld van je rekening roven zonder dat er vooraf controle is of daar wel toestemming voor is.
Click&buy stelt niets voor op het gebied van beveiliging. Een klant van ons wilde C&B gaan gebruiken voor zijn webwinkel, maar ik heb C&B geweigerd vanwege de afwezigheid van enige vorm van serieuze beveiliging. De webwinkelsoftware moet op basis van het IP adres controleren of de andere kant wel de echte C&B server is. Zeker nooit van spoofing gehoord. Prutsers.
En jij hebt waarschijnlijk nog nooit van TCP gehoord. :-P IP's spoofen is niet zo simpel als het lijkt, net zoals jij best iemand een brief kunt sturen en mij als afzender aangeven. Maar dan gaat het antwoord op de brief ook naar mij en niet naar jou.
Evenzogoed is het zeker triest dat er mensen zijn die zaken doen met dit soort amateurs. En dat ze niet eens aan een controle doen zoals hieronder omschreven door Bob. Dit doet elke behoorlijke toko om te controleren of ze inderdaad de juiste bankrekening te pakken hebben.
Ik weet heel veel van tcp/ip; speel de bal en niet de man. Spoofen is 1 mogelijkheid, maar er zijn legio voorbeelden te noemen waarmee je een webserver kan laten denken dat de aanvraag van een bepaald adres komt. In geval van C&B is de man-in-the-middle methode zeer goed uitvoerbaar op meerdere punten op internet.
Je maakt een account aan, geeft voor de afschrijving een rekeningnummer op van een nederlandse bankrekening en betalen maar op andermans kosten.
Is niet mogelijk omdat Clik en Buij een bedrag van €0,01 naar de opgegeven rekening overboekt met daarbij een controlecode. Die moet je vervolgens in je C&B account opgeven ter verificatie.
Bij o.a. Moneybookers en Paypal werkt het ook zo.
Als ik het goed heb gelezen dan kan je via Click & Buy kleine betalingen doen zonder dat je je rekening hoeft te bevestigen.
Op zich is daar niets mis mee, als Click & Buy dan ook maar garant staat voor fraude met die kleine bedragen. Plus, ik vind dat ze minimaal een naam/nummer controle moeten laten uitvoeren door de betalingsinstantie.
Heeft iemand een idee hoe dit is geregeld bij Click & Buy?
Om te kunnen reageren, dient u ingelogd te zijn.
1 jaar geleden: 11 februari 2011
2 jaar geleden: 11 februari 2010
3 jaar geleden: 11 februari 2009
4 jaar geleden: 11 februari 2008
14 jaar geleden: 11 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
