Gepubliceerd: Vrijdag 16 oktober 2009
Een groot aantal studenten heeft gebruik gemaakt van een fout in het betalingssysteem van Just-Eat.nl. Zo was het mogelijk om voor slechts een paar cent eten te bestellen.
Toon volledig artikel
Kinderachtige manier van doen van de heren studenten. En dan Nyenrode nog wel, de zogenaamde toekomstige managers en captains of inustry. Vergeet het maar dat de graaicultuur binnenkort tot zijn eind komt.
Jammer dat ook heren met verstand niet begrijpen dat op deze manier men alleen maar anderen dupeert.
maar ja, Ikke, ikke, ikke en de rest kan....
...geen fatsoenlijke website bouwen en preseert het om maandenlang onwetend te zijn van hun financiele transacties.
Eigen schuld, ...
Dat mensen fouten maken rechtvaardigd het misbruik ervan maken niet.
De studenten hadden er ook voor kunnen kiezen justeat ervan op de hoogte te stellen.
Maar in plaats daarvan kozen ze ervoor om misbruik te maken van het gat en daardoor justeat te duperen.
Ethisch is dat niet verantwoord, punt.
Ik denk niet dat het helemaal zo gegaan is. Zoals de man van justeat zegt (wat hem wel koel maakt): een paar slimmere studenten ontdekken het gat. Verdienen dan ook de pizza vind ik.
Scheppen een beetje op, maar helaas maken de andere er misbruik van.
Dus als jij vergeet je huisdeur op slot te doen als je je huis verlaat, of per ongeluk de sleutel in de achterdeur hebt laten zitten, geeft dat mij het recht jou huis leeg te roven "omdat ik het ontdekt heb"?
Gelegenheid maakt de dief.
Daarbij hoef je echt niet bij je verzekering aan te komen als je de sleutel in je achterdeur hebt laten zitten. Weken lang. En je ook al weken lang heb kunnen weten dat er spullen verdwenen. Dan is het echt je eigen schuld.
Tja, er is toch echt een verschil tussen een paar pizza's voor het vinden van een redelijk grote lek, en de echte schade die ze nu leiden (meer dan 20.000 euro).
Als je namelijk meteen in de verdediging springt en zelfs voor die pizza naar de politie gaat springen, dan mag je ervan uit gaan dat niemand je meer op de hoogte gaat brengen van het gat.
In tegenstelling tot jouw manke vergelijking (waarom toch altijd vergelijken met een huis, dom dom dom) kan je het bij een site pas achteraf achterkomen dat je binnen bent geweest.
Dus JA ze hebben die pizza verdient, en die meneer van justeat zal het met me eens zijn. Nee, de andere studenten hebben het niet verdient, die zijn alleen maar aan het profiteren.
In principe heb je gelijk, maar ik heb steeds minder medelijden met de "slachtoffers".
De onwil om ook maar 1 cent, of zelfs maar enige moeite te besteden aan de kwaliteit van dit soort websites heeft niets meer met "fouten maken" van doen. Dit zijn geen "foutjes", dit is amateurisme, en alhoewel het om financiele transacties gaat is er blijkbaar geen actieve monitoring en is geen security-audit overheen gegaan.
We hebben het verdomme wel over een service waaraan consumenten hun prive-gegevens toevertrouwen en leveranciers van afhankelijk zijn. Als je dan wel tonnen investeert in commerciele expansie maar niet even een paar professionals wil inhuren om de core-dienst goed neer te zetten dan moet je niet mekkeren als het mis gaat.
Privé gegevens worden zowiezo klakkeloos overal achter gelaten door mensen... Ik denk dat de 'gevaarlijkste' gegevens slechts aan iDEAL worden doorgegeven, wat verder een prima werkend en veilig systeem lijkt te zijn (ik heb iig geen openbare klachten over de beveiliging van iDEAL gezien de laatste tijd).
Wat in dit geval gebeurde was dat de prijzen aan de kant van justeat werden gewijzigd.. men geeft zelf aan dat de fout niet aan de iDEAL kant ligt. Dit betekent dat jou privé gegevens pas aan de 'veilige' kant worden ingevoerd.
Er zijn verder overigens voldoende mensen die functioneel gezien heel behoorlijke applicaties schrijven, gewoon voor markt conforme prijzen werken, maar verder nooit echt uitgebreid hebben geleerd over het schrijven van veilige code.
Als je zelf geen expertise hebt op het gebied van webdevelopment huur je een 'professional' in op goed vertrouwen. Zelfs als je niet voor een dubbeltje op de 1e rij probeert te zitten, en een wat duurdere partij uitzoekt om je applicatie te bouwen is het bijna niet mogelijk om zonder eigen expertise te beoordelen hoe goed die partij nou werkelijk is, en of ze kaas gegeten hebben van beveiliging.
Dit betekent dat jou privé gegevens pas aan de 'veilige' kant worden ingevoerd.
Dit is gedeeltelijk waar: je NAW + Telefoon + E-mail + wachtwoord + bestel history + spaarpunten + etc. staan bij just-eat. Dit kan gevoelige informatie zijn (geheim telefoonnummer, wachtwoord wat je ook ergens anders gebruikt).
Het is niet het eerste webwinkelsysteem waar de klant zelf de mogelijkheid heeft de prijs die hij betaalt aan te passen. Hier is (wederom) een softwareleverancier bezig geweest die onvoldoende aandacht aan beveiliging besteed heeft.
Ja, ik verwacht dat het merendeel van deze Nijenrode studenten managers gaan worden die projecten gaan uitbesteden aan softwarebedrijven waar de minderheid van de studenten manager geworden is. Daarbij zal zonder twijfel een gat geschapen worden waardoor een volgende generatie Nijenrode studenten goedkoop kan eten.
Tuckson, ga lekker op een andere planeet moraal ridder spelen. En dan Nyenrode nog wel, de zogenaamde toekomstige managers en captains of inustry. Vergeet het maar dat de graaicultuur binnenkort tot zijn eind komt.
Graaicultuur, dat is menselijk. Het is altijd zo geweest en zal nooit meer veranderen.
Dus als ik een volgende order klaar zet tijdens het betalen hack ik? http://tinyurl.com/justeatfail WC3 kennen ze ook al niet.
De W3C standaarden gebruiken om een website af te kraken vind in niet helemaal van toepassing. Dat wil natuurlijk niet zeggen dat het een slechte of onveilige website is. Mijn punt; http://tinyurl.com/webwereldfail
Verder, eigen schuld, dikke bult voor justeat.nl. Ben het volledig eens met de mensen die hebben gesteld dat ze de beveiliging beter in de gaten hadden moeten houden. Dit had makkelijk gespot kunnen worden, als je tegen de 30.000 transacties van een paar eurocent in je transactieoverzicht / boekhouding tegenkomt moet je je toch eens achter de oren gaan krabben.
Dat wil natuurlijk niet zeggen dat het een slechte of onveilige website is. Mijn punt; http://tinyurl.com/webwereldfail [^]
Als een website talloze fouten krijgt bij de W3C-tests dan is die site slecht geschreven. Webwereld is een voorbeeld van een website die slecht geschreven is. Justeat is nog zo'n voorbeeld.
Zoals ik het artikel las moet je wel eerst het hele bedrag overmaken maar kan je daarna daar een groot deel ven terug storten.
Zijn wel flink wezen kanen die gasten 30.000euro is niet weinig voedsel.
Maar "Just Eat" had ook wel beter op de beveiliging moeten letten.
Je bent namelijk zelf ook deels aansprakelijk (tegenwoordig) als je je deur open laat staan.
Ik dacht dat eerst ook,
maar na een keer overlezen kwam het op mij over dat ze juist vóór de ideal-transactie de boel hebben aangepast.
Het is een heel klassieke programmeerfout die in veel webwinkelsoftware/cms-en etc. is voorgekomen, schandalig dat deze programmeur er blijkbaar niet van heeft geleerd.
Schandalig dat de studenten alsnog moeten betalen.
Het systeem was zo gebouwd dat het mogelijk was gratis te eten.
Waarom moeten ze nu betalen ? Ze hebben het systeem toch gebruikt met al haar mogelijkheden ?
Schooierig vind ik dit. Had je maar een systeem moeten gebruiken waarbij pizza's wel geld kosten.
Ik kan ook in een onbewaakt ogenblik een rol met prijs-stickers in een winkel jatten en alle producten die ik wil met een lage prijs bestempelen en zeggen "de organisatie heeft die rol onbewaakt laten liggen, dus is het mijn goed recht om nu alles voor €0.99 te kopen. Maar die vlieger gaat niet op natuurlijk.
Je kan echt wel van mensen verwachten dat zelf de prijs van je product opgeven, zelf tot absurd lage bedragen niet een bedoelde mogelijkheid van het systeem was. En als je moet trucken of hacken om dat voor elkaar te krijgen weet je natuurlijk gewoon dat je de boel zit te belazeren.
Schooierig? Nee hoor, deze studenten hebben gewoon willens en wetens diefstal gepleegd. Ze mogen blij zijn dat ze enkel alsnog de rekening krijgen voorgeschoteld, ze hadden ook kunnen worden aangeklaagd voor diefstal.
Die directeur heeft er duidelijk geen fluit van gegeten, of hij wil de schuld op een ander afschuiven. De fout ligt niet bij iDeal, die accepteerd namelijk alleen een bedrag dat geaccepteerd is door de webwinkel. Met andere woorden: de klanten kunnen het bedrag aangeven, de webwinkel van die directeur accepteerd dat, die webserver geeft het door aan iDeal en vervolgens kan de klant iDeal gebruiken.
Het verhaal ligt wat ingewikkelder en er zijn meer winkels bij betrokken. Zie tweakers net voor meer info:
Veertig Nederlandse bedrijven kunnen slachtoffer zijn geworden van een beveiligingslek bij het Deense betalingsbedrijf Dibs. Vrijdag bleek dat studenten door het lek anderhalve maand lang voor een paar cent pizza's konden bestellen.
Er zijn maximaal veertig Nederlandse bedrijven die van dezelfde betalingsmethode van het Deense bedrijf Dibs gebruikmaken. "We zijn momenteel bezig met al die bedrijven contact op te nemen", zegt Jisper Lohmann van Dibs. "Ook proberen we het lek zo snel mogelijk overal te dichten."
40 bedrijven potentieel slachtooffer
Dus het lek ligt niet bij Dibs, maar wel gewoon bij justeat.nl en blijkbaar diverse andere sites.
Dibs verwerkt alleen maar transacties en geeft door of de transactie gelukt is. Ik blijf bij een slordige programmeerfout, ook aangezien dit weer bevestigd wordt door genoemd artikel.
Ze hebben de code aangepast zodat het niet weer kan gebeuren.
Zegt toch genoeg?
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
