Betaaldienst MSN Music slecht beveiligd tegen fraude

Het is ontzettend eenvoudig om voor ten minste 30 euro aan muziek te kopen bij MSN Music en een ander voor de kosten op te laten draaien. Het enige wat iemand daarvoor hoeft te doen is andermans rekeningnummer invullen bij het aanmelden. Dit blijkt uit onderzoek van Kassa en Computer Idee. Zonder enige verdere controle krijgt een gebruiker dan 30 euro prepay tegoed toegewezen, dat meteen opgemaakt kan worden en van de opgegeven rekening zal worden afgeboekt. Officieel is er voor het verder opwaarderen van het account een code nodig die op het eerste afschrift staat vermeld, maar de onderzoekers hadden geen probleem om het budget nog eens met 30 euro te verhogen. MSN Music maakt gebruik van de betaaldienst Firstgate, dat deze methode beschrijft als een internetmachtiging. De banken erkennen deze machtigingen niet, simpelweg omdat ze te fraudegevoelig zijn. Slachtoffers van fraude - en zelfs de echte klanten van de dienst - kunnen hun geld dus zo terug laten storten, want de winkel heeft geen poot om op te staan met slechts een digitaal formulier als het bewijs van toestemming.

Toch worden de internetmachtigingen gedoogd, omdat er vooralsnog geen beter alternatief is voor directe betalingen. Alleen bedrijven waarover te veel klachten binnenkomen, lopen het risico om hun machtiging voor het doen van automatische incasso's te verliezen. Voor een echte oplossing zouden we moeten wachten op Ideal, het online betaalsysteem dat door de banken zelf is bedacht. Firstgate zegt aan de hand van ip-adressen fraudeurs te kunnen opsporen, maar dat zou in de meeste gevallen te veel tijd en energie kosten, vooral omdat het om relatief kleine bedragen gaat. In een tweede reactie liet het bedrijf echter weten 'in de regel aangifte bij de politie te doen'.

Lees meer

IT-banen

Reacties (85)

captain007 16 januari 2005 10:44

Maar dan snap je niet dat ze bij kassa op deze manier het bedrijf DWINGEN om de zaken netjes op orde te hebben. En daar zit het sterke punt van dit programma em nou juist in. Ze moeten die bedrijven wel aanpakken want anders zou het weer maanden duren voordat dit probleem aangepakt kan worden. En het is natuurlijk wachten op totdat de banken met een systeem komen om te controleren of dat rekeningnummer ook daadwerkelijk van jou is. Dan is fraude minder gemakkelijk te plegen.

kodak

Bedrijfsnieuws

@captain007 • 16 januari 2005 18:10

Niet alleen de bedrijven moeten aangepakt worden, maar men zou eens bij de banken moeten beginnen. Die dwingen klanten en bedrijven gebruik te maken van een systeem dat zo lek is als een mandje omdat ze geen ZIN hebben om zelf te controleren of er wel geld overgemaakt mag worden. De beveiliging is niet aan strenge regels gebonden, iedereen die machtigingen mag gebruiken om geld van rekeningen te houden moet zelf maar weten of ze controle toepassen en goede machtigingen gebruiken. Het gevolg is dat bedrijven het niet echt nauw nemen en bankklanten vervolgens de dupe zijn van de laksheid van de banken. De schuld wordt vervolgens in de schoenen geschoven van de bedrijven die niet aan de voorwaarden voldaan hebben, maar dat heeft geen enkele gevolgen voor zo'n bedrijf. Dat de bedrijven weinig verantwoordelijkheid nemen valt natuurlijk ook niet goed te praten, maar zolang de banken de verantwoordelijkheid om toezicht te houden op de rechten om aan iemands geld te zitten dan zit de oorzaak van al de problemen bij de banken.

Verwijderd 16 januari 2005 10:34

Je zou toch verwachten dat er een goede beveiliging op zit na alle ellende die microsoft heeft gehad in de wereld (en overigens nog wel vaak heeft met bv internet explorer ) zeker nu men daar grote aandacht aan besteed door er extra mensen op gezet te hebben.

Dan kom je met een dienst die cash , veel cash kan opleveren en dan dit weer. Hoe ging het spreekwoord ook alweer ....een ezel ...

Hopelijk leren ze van hun fouten maar vooralsnog ziet het er niet naar uit.

Neo_revisited @Verwijderd • 16 januari 2005 10:40

Ik denk niet dat je Kassa hebt gezien. Het probleem micht nl niet bij Microsoft, maar bij de betaaldienst Firstgate. Firstgate draait dus ook voor de geleden schade op.

Firstgate treedt hier op als bank/incaseerder en is dus verantwoordelijk voor het correct laten verlopen van de geldstromen.

Voorbeeld: Als iemand een lek in welk telebanking programma dan ook ontdekt en hier is gebruik van gemaakt draait de bank ook op voor de geleden schade, niet de consument en niet de leverancier aan wie de betaling, via dat lek, is gedaan.

dataworm @Neo_revisited • 16 januari 2005 12:08

Het probleem licht nl niet bij Microsoft

Dit is natuurlijk onzin. MSN is van Microsoft en Microsoft heeft ervoor gekozen het betalingsverkeer via Firstgate te laten lopen. Ze hadden ook voor een ander bedrijf / betalingsmethodiek kunnen kiezen.

Verwijderd @dataworm • 16 januari 2005 19:06

Even corrigeren want je analogie klopt niet. Je koopt een product auto of muziek. Als daar onderdelen van defect zijn ga je naar de verkoper/fabrikant van dat product.

Als de betaling van de auto/muziek niet klopt ga je naar je bank omdat te laten corrigeren.

Je bank handelt dit netjes af door de overschrijving/incasso teniet te doen of te laten corrigeren. In dit geval is er sprake van een tweetraps transactie waarbij firstgate ten onrechte de incasso doet en dus fout is. Jouw bank maakt dit ongedaan door het terug te claimen bij firstgate, maar dat is al niet meer jouw pakkie an. Firstgate zal dit rapport bestuderen en proberen uit te zoeken of zij de fraudeur kunnen opsporen en aangifte tegen hem/haar kunnen doen.

Die 30 euro vooruit, kan je overigens gewoon zien als bedrijfsrisico, het feit dat een tweede betaling ook nog lukt is natuurlijk minder charman

edit
was als reply op Olaf bedoeld.
/edit
t.

TheOneLLama @dataworm • 16 januari 2005 19:09

Je mag er vanuit gaan dat MSN niet blind vertrouwt op het afhandelen van jou financiele transacties. Als een stelletje leken bij Kassa kan bedenken dat het goed werkt mag je toch minstens hetzelfde van MSN verwachten?

Geloof me, ze weten precies hoe het werkt. In het contract tussen MSN en Firstgate zal er dan ook wel een flinke sectie aan gewijd zijn.

SWINX @dataworm • 16 januari 2005 17:56

Je mag ervan uitgaan dat MS ervan uitgaat dat Firstgate een fatsoenlijke dienst levert, toch?

Spacecowboy

@Neo_revisited • 16 januari 2005 15:32

Het probleem licht in de eerste instantie wél bij Microsoft. Ik neem een dienst af van MSN/Microsoft. Dat zij daarbij een derde inschakelen die zijn zaakjes niet op orde heeft, is niet mijn probleem.

Ik vind trouwens dat Microsoft behoorlijk heeft zitten slapen, of bewust ingehoord veel risico neemt. Wat ik overigens ook erg zwak vond was de reactie van Firstgate in de uitzending van Kassa. "We moeten een afweging maken tussen gebruiksgemak en veiligheid"... Lekker dan.

Wat is er mis met de goeie ouwe creditcard?? Veilig, snel en simpel. In al die jaren dat ik dat ding gebruik om op internet te kopen, heb ik nog nooit ergens last ee gahd. Ik snap dat gezeur niet over alternatieve betalingsmethoden zoasl Firstgate en dergelijke niet echt...

Verwijderd @Spacecowboy • 16 januari 2005 19:26

Creditcard, niet alleen america hoor, het is in de meeste landen om ons heen popularder dan bij ons. En hier in Portugal hebben ze wel debetcards maar die schijnt vrijwel niemand te gebruiken. Ze leven hier op kredie

.

Overigens is dat ook ten dele aan de banken te wijten dat het bij ons niet zo geintergreerd is als in andere landen, de alternatieven die zij boden en de initieel hoge eisen voor het afsluiten van een cc-contract, alsmede de cc-maatschappijen zelf i.v.m. hogere transactiekosten voor de detaillist in vergelijking met pin.
Voor de rest is een CC een gewone rekening naast je normale rekening, welke in sommige opzichten veiliger is dan een gewone rekening, door een gelimiteerd krediet en eventueel een maximaal maandgebruik. Al onze kaarten staan ingesteld op een max van 500 met een maximaal maand gebruik van 250 euro. Een incasso zou in theorie je gehele rekening kunnen plunderen met deze constructie lukt dat echt niet Daar staat tegenover dat een incasso makkelijker ongedaan te maken valt dan een valse creditcardtransactie

Maar even terug naar firstgate, ik hoop dat het mogelijk is om vooraf deze service te blokkeren middels een soort van opt-out welke verstuurd kan worden met je afschriften, hoef je alleen nog maar terug sturen.

Widow @Spacecowboy • 16 januari 2005 18:05

Creditcard is idd leuk, maar dat heeft niet iedereen. In amerika is een creditcard vanzelfsprekend, maar hier in nederland is dat niet zo. Daar hebben mensen gewone bankrekeningen waar ze geld vanaf schrijven.

SeatRider @Spacecowboy • 17 januari 2005 09:30

@zammam:

Maar even terug naar firstgate, ik hoop dat het mogelijk is om vooraf deze service te blokkeren middels een soort van opt-out welke verstuurd kan worden met je afschriften, hoef je alleen nog maar terug sturen.

Zullen we opt-in doen? Anders krijg je hetzelfde probleem als destijds met dat systeem van KPN dat ze via je telefoonrekening kunnen incasseren.

Olaf van der Spek @Neo_revisited • 16 januari 2005 12:04

Ik denk niet dat je Kassa hebt gezien. Het probleem micht nl niet bij Microsoft, maar bij de betaaldienst Firstgate.

Wat heeft de consument daar mee te maken?
De consument kiest voor MSN Music, niet Firstgate. Hoe en wat daar achter de schermen gebeurd is voor de consument niet (direct) relevant.

Dances @Olaf van der Spek • 16 januari 2005 13:41

Het probleem licht voor een gedeelte natuurlijk bij Microsoft, zij hebben gekozen voor Firstgate om het betalingsverkeer af te handelen (even als de Chello muziek winkel).
Maar aangezien de klant toch echt via Firstgate betaald krijgt men daar uiteindelijk mee te maken. Misschien dat het onderscheid wat moeilijk is voor klanten, maar mochten er klachten zijn met afschrijvingen dan zal Firstgate deze afhandelen.

Overigens kunnen niet alleen klanten van de muziekdienst problemen krijgen. Bij Kassa werd het rekeningnummer van de Informatie Beheer Groep gebruikt om geld af te schrijven. In principe kan dus iedere Nederlandse eigenaar van een bankrekening een on-eigenlijke afschrijving krijgen. En wie regelt dit, juist, Firstgate. Onafhankelijk van de gebruikte muziek winkel.

Olaf van der Spek @Olaf van der Spek • 16 januari 2005 14:35

Het probleem licht voor een gedeelte natuurlijk bij Microsoft, zij hebben gekozen voor Firstgate om het betalingsverkeer af te handelen (even als de Chello muziek winkel).

Dat heet van het kastje naar de muur verwijzen.
Als van jouw auto een wiel afvliegt omdat een moertje niet sterk genoeg was, ga je ook niet naar de moertjesfabrikant maar naar de autofabrikant/garage waar je hem gekocht hebt.

Saeverix

@Neo_revisited • 16 januari 2005 10:58

ach... je kunt het ook weer zien als een soort dwang tegen Firsgate. misschien dat ze nu ineens wel heel snel iets anders kunnen regelen zodat de bug eruit is.

want je weet zelf, de meest stugge bedrijfen worden nadat ze op tv zijn geweest met hun naam ineens een heel stuk soepeler...

Blokker_1999

Bedrijfsnieuws

@Saeverix • 16 januari 2005 11:24

Het is geen bug. Er is niets mis met de software, maar wel met de afhandeling van betaling. De banken zeggen zelf dat een machtiging over het inet niet rechtsgeldig is. Als firstgate hier toch mee wil werken dan lopen zij het risico.

En zoals hier ook al gemeld staat: het is niet enkel firstgate, maar ook andere sites werken op deze manier.

Verwijderd 16 januari 2005 10:33

Kijk dit is nu een sterk staaltje zwartmakerij.

De titel komt nu net over of MSN music met haken en ogen aan mekaar hangt.
Zullen we ook even alle Ebay shops die gebruik maken van pay-pal erdoor halen? Maar daar gaat het dan om een bedrag van €1000 (als ik me niet vergis) dat je kan betalen vooraleer je verified user bent.
Nu moet je bij paypal wel credit card gegevens hebben (wat iets minder makkelijk is).
Stel : ik werk voor money bookers. Ook zo'n betaalservice. Mensen die daar met credit card willen werken moeten hun kaart voor en achterkant scannen en naar moneybookers mailen.
Nu goed, iemand die in dat systeem binnen kan dringen (of een malfide werknemer!!!) kan 10 tallen paypal accounts aanmaken met de verschillende klantgegevens van moneybookers klanten. En alzo in no-time voor duizenden euro's fraude plegen.

Auteur

Wouter Tinus @Verwijderd • 16 januari 2005 10:40

Waarom zou iemand die creditcardnummers kan jatten niet gewoon direct met die creditcards gaan betalen, in plaats van moeilijk te doen met Paypal-accounts? Dat laat alleen maar meer sporen achter. Bovendien heb je hier te maken met downloads in plaats van fysieke goederen. Als je dit vanuit openbare ruimte doet, of bijvoorbeeld via een gehackte bak ergens, dan is de kans dat ze je ooit vinden volgens mij minimaal. Maar als je een stereo koopt dan moet je hem toch ergens naartoe laten sturen

locke960 @Verwijderd • 16 januari 2005 14:40

Links of rechtsom, dit is gewoon slecht van MSN. twee mogelijkheden:

1. Ze wisten niet dat het systeem van Firstgate zo krakkemikkig was. In dat geval zijn ze dom of hebben ze zich totaal niet georienteerd. In het laatste geval zijn ze nog dommer.

2. Ze wisten het wel maar hebben besloten het te negeren en toch met Firstgate in zee te gaan. In dat geval zijn ze niet alleen dom maar hebben ze ook nog minachting voor hun klanten en, erger, voor mensen die niet hun klanten zijn maar straks wel het slachtoffer.

En als ze nu gewoon zo doorgaan dan zijn ze gewoon misdadig bezig. (uitlokking en dergelijke)

Verwijderd @locke960 • 16 januari 2005 17:33

Het probleem is dat MSN accepteerd dat er een betaling plaatsvindt ***ZONDER**** dat de FirstGate pincode wordt ingevoerd die FirstGate opstuurt.

FirstGate zit hier fout want dit zounden zij niet moeten accepteren (En daar zullen ze heus wel discussie over hebben gehad maar............... Microsft MSN is een hele vette vis!

Microsoft MSN zit helemaal fout omdat ze zonder pincode muziek downloaden aanbieden en dat ook nog gaan incasseren bij een ander!! Maar bij Microsoft wisten we al dat de beveligingsafdeling ondergeschikt is aan de marketing afdeling!!!

btw Wie gaat er nu betalen voor muziek die je maar heel erg beperkt kan gebruiken. 1 x opnieuw windows installeren en je kan je muziek niet meer afluisteren en moet je het opnieuw kopen.

Johnny @Verwijderd • 16 januari 2005 11:56

Voor paypal hoef je helemaal geen creditcard te hebben

je kunt gewoon geld van je eigen bankrekening overmaken naar je paypal account, wat je dan weer kan besteden.

Olaf van der Spek @Verwijderd • 16 januari 2005 12:00

Zullen we ook even alle Ebay shops die gebruik maken van pay-pal erdoor halen?

Hoe oud ben je nou? Is een beetje kinderachtig, niet?
Met 'maar mama, ebay doet het ook' kom je echt niet ver.

Nu goed, iemand die in dat systeem binnen kan dringen (of een malfide werknemer!!!)

Dat is een stuk complexer dan de methode met MSN Music, of niet?

Wie heeft hier trouwens beweerd dat Money Bookers of credit cards in het algemaan wel veilig zijn?

SWINX @Olaf van der Spek • 16 januari 2005 13:50

Het gaat er toch om dat MSN niet deze fout maakt, maar Firstgate?
Kris Franssens heeft gewoon gelijk in wat hij zegt.

Een str_replace("MSN Music","Firstgate", $title) zou in mijn ogen ook beter zijn...

TheOneLLama @SWINX • 16 januari 2005 19:06

MSN werkt er toch aan mee of niet dan?
Dat er van die idioten rondlopen die zo'n betaling bedacht hebben is 1, het is MSN wat het mogelijk maakt dat iedere idioot nu 30 euro van mijn rekening nummer af kan halen.

Nu moet je wel eerst het nummer weten, maar een rekening nummer hou je (hield je tot voor kort) niet zo geheim als een creditcard nummer. Je kan er immers niet veel mee. Bovendien is bv een gironummer makkelijker te raden dan een creditcardnummer+verval datum.

MSN, Firstgate en de banken zitten allemaal even fout hier, net als ieder ander bedrijf die hier aan meewerkt.

Keypunchie @SWINX • 16 januari 2005 19:41

Sterker nog, mijn rekeningnummer publiceer ik meestal openlijk, omdat dat noodzakelijk is als mensen aan mij willen overmaken.

K.C. @SWINX • 17 januari 2005 08:53

De meeste mensen houden het niet geheim.

Heeft iemand wel eens bij een pinautomaat op de grond gekeken ... liggen altijd briefjes met de noodzakelijke gegevens.

Of je kijkt naar je eigen rekeningafschriften, hoeveel benodigde gegevens van anderen staan daar wel niet op ... neem een grote jongen als het energiebedrijf of de belastingdienst, die zien die kleine bedragen niet eens. Dus plenty mogelijkheden tot misbruik.

M.a.w. een brak systeem dat direct verboden moet worden. De banken erkennen het dan wel niet, maar boeken wel af. Ik moet zelf controleren of ik door hun handelen benadeeld ben en ook zelf actie ondernemen om mijn geld terug te krijgen. het enige goede is dat ik het gegarandeerd terug krijg.

Verwijderd @SWINX • 17 januari 2005 09:52

dit valt onder de verantwoordelijkheid van MSN. MSN biedt deze dienst namelijk aan. een concument heeft niets aan het hele lijstje derden wat betrokken is bij een product en mag het product op redelijkheid kwa werking beoordelen.

MSN = Microsoft = slechte beveiliging. helaas opnieuw!

Olaf van der Spek @SWINX • 16 januari 2005 14:33

Nee, zie Gepost door Olaf van der Spek - zondag 16 januari 2005 - 12:04

Thrillseeka @SWINX • 16 januari 2005 15:26

swinx en kris hebben dus wel gelijk..

maarjouw redenatie omdat het geschreven is door olaf van der spek is het inneens allemaal goed? overigens horen dit soort discussies meer plaatste vinden in FF op got

Verwijderd @Verwijderd • 17 januari 2005 09:49

Ik heb de titel gelezen maar hij klopt precies bij het artikel. Of vind jij echt dat de MSN Music dienst beveiligd is tegen fraude?

Wat je wel kunt stellen is dat in het algemeen machtigingen slecht beveiligd zijn. Met name bij bedrijven die zelf naam-nummer controle doen (dan betaal je zelf minder geld per incasso, vroeger was dat 15 cent!). Ik heb zelf ervaring bij een organisatie die hierin vaak fouten maakte, maar de Postbank en banken maakten hier nooit problemen over.

Fireshade @Verwijderd • 17 januari 2005 12:45

nee, de titel klopt niet helemaal. als MSN genoemd wordt, dan moet Download.nl ook genoemd worden. komt nogal over als stemmingmakerij, want "Betaaldienst Download.nl slecht beveiligd tegen fraude" klinkt toch minder

de echte schuldige hier is Firstgate. rare beslissing van hen om bij de eerste 30 Euro geen paswoord/pincode te eisen, en alleen maar een bankrekeningnummer.

Fuzzillogic 16 januari 2005 10:41

Bij de giro-555-voor-azië-actie kon je ook via een webforumuliertje zomaar geld van je rekening laten afboeken.

Slecht zaak vind ik dat. Bizar gewoon dat iemand die toevallig mijn rekeningnummer kent, hetgeen eigenlijk een publiek getal is, kan er zomaar geld vanaf laten halen.

Bij PayPal boeken ze eerst $1 van je creditcard af, onder vermelding van een nummer. Dat nummer moet je als bevestiging weer invoeren. De maximum schade die je iemand kunt toebrengen is dan ook $1.

jkf @Fuzzillogic • 16 januari 2005 11:09

Het risico daarbij is vele malen lager, niemand krijgt immers goederen of een dienst geleverd op kosten van jou.

Overigens ook bij schriftelijke machtingen is de controle niet al te goed, bij mij is wel eens geld van de rekening geboekt middels een schriftelijke machtiging die ik nooit gegeven heb. De bank doet dan overigens inderdaad niet moeilijk over het terugstorten van het geld. (Zelfs niet bij een schriftelijke machtiging)

reddog33hummer @Fuzzillogic • 16 januari 2005 15:44

Rekeneingnummers zijn alleen beveiligd door de 11 proef. Als je die goed genereerd kan je gewoon random rekening nummers gebruiken.

SuperDre @reddog33hummer • 16 januari 2005 16:49

Das dus voor bankrekeningnummers, maar een girorekeningnummer bestaat gewoon uit 7 cijfers en is geen controle op te doen...

Verwijderd @Fuzzillogic • 16 januari 2005 11:12

zo werkt firstgate ook (bijna iig: ze boeken eerst €0.01 toe aan je rekening)

Maar, zolang de tijd niet verlopen is, kun je kopen wat je wilt.

Olaf van der Spek @Verwijderd • 16 januari 2005 12:06

zo werkt firstgate ook (bijna iig: ze boeken eerst €0.01 toe aan je rekening)

Hier staat toch echt 30 euro, niet 1 cent.

Zonder enige verdere controle krijgt een gebruiker dan 30 euro prepay tegoed toegewezen, dat meteen opgemaakt kan worden en van de opgegeven rekening zal worden afgeboekt.

MrE 16 januari 2005 14:04

Ik vind het een beetje kort door de bocht om users die M$N typen belerend op de vingers te tikken, maar wel een artikel toe te staan dat opent met de kop 'betaaldienst MSN is slecht beveiligd tegen fraude'
De koppensnellende lezer is geneigd te zien dat MS weer eens een gat heeft.

Het had mijn inziens mooier geweest om de kop 'Firstgate betaalsysteem is fraudegevoeling' te laten zijn (Firstgate is tenslotte de basis van het probleem), en in de body een aantal bedrijven op te nemen die van dit systeem gebruik maken (de lezer mag in de tweede instantie namelijk niet onthouden worden wie dit systeem gebruikt).

Dus alhoewel het onvoorzichtig van MS is om dit systeem te gebruiken, is het etaleren van een bekende naam in de kop van een artikel even fout als het gebruik van M$ of M$N. Eerder genoemde voorbeelden zijn door de schrijver alleen maar bedoeld om de aandacht te krijgen.
Ik neem aan dat Tweakers niet van hetzelfde niveau is als Weekend of Prive, en moet zich dus ook niet van deze aandachtsgeile koppen bedienen.

Journalistiek is meer dan alleen maar nieuws verkondigen, het is ook de manier waarop het wordt verkondigd.
Nu Tweakers het stadium van achterkamerwebsite is ontgroeid (alleen maar hulde), moet er ook gelet gaan worden op de formuleringsvaardigheid van de nieuwsposters (en niet alleen de gramatica).
Vooral vanwege het feit dat de koppen van artikelen vaak los van het artikel in utilitybalkjes worden vertoont, en daarmee alleen maar meewerken aan het het fenomeen koppensnellen.

ebx @MrE • 16 januari 2005 14:14

MSN is toch eindverantwoordelijk , voor een deel van HUN dienst die ze in onderaanneming uitbesteden ?

Ik vind dat MSN hier minstens evenveel als Firstgate in de fout gaat! Het is makkelijk om te zeggen wij hebben het niet gemaakt, terwijl ze het toch gebruiken hoor !

* zet nu zijn proxy chain op, om even voor 30€ / user gratiste gaan muziek shoppen, kazaa wordt echt overbodig dees dagen

Verwijderd @ebx • 16 januari 2005 17:19

Niet alleen MSN...

Daar gaat het nu juist om!!!

SmoothVision 16 januari 2005 11:41

Ze kunnen beter als een normale 'webwinkel' tewerk gaan en direct na het aan melden een email sturen naar het geregistreede account, zodat in die mail vermeld word waar het geld opgestort moet worden, hoeveel en waarvoor het is ed, zo kun je geen email en bankgegevens van anderen gebruiken, gevolg is wel dat het zo langer duurt omdat er toch een aantal dagen tussen zit.

Tomatoman 16 januari 2005 15:33

Het klinkt allemaal als een grote ontdekking, maar het is met het Nederlandse betaalsysteem al tientallen jaren mogelijk om geld van andermans rekening af te schrijven! Met een zakelijke rekening kun je van een willekeurige rekening een bedrag afschrijven als je aangeeft dat het een machtiging betreft. Het bedrag wordt dan direct - zonder controle - naar jouw rekening overgeschreven. Het enige wat je nodig hebt is een rekeningnummer, veel programma's voor online bankieren zoeken er dan automatisch de naam van de rekeninghouder bij.

Pas als de gedupeerde achteraf bij de bank klaagt dat hij helemaal geen machtiging heeft afgegeven, vraagt de bank jou om te bewijzen dat die machtiging er wel is. Je zult dan de handtekening moeten laten zien. Als je het bewijs niet kunt leveren, wordt het bedrag van jouw rekening teruggeboekt naar de gedupeerde.

Een eventuele controle van de machtiging is dus altijd achteraf, of het nou een schriftelijke of elektronische machtiging is maakt daarbij niets uit.

Neo_revisited 16 januari 2005 10:35

Dat ze bij Kassa op de televisie aandacht besteden aan dit probleem vind ik niet vreemd. Ze stellen in dat programma immers allerlei problemen aan de kaak. Alleen gaat het zowat altijd om problemen voor de consument (nl consumentenprogramma). Het frauderen is in de eerste plaats alleen een probleem voor het bedrijf. Een eventuele consument van wie zijn rekening is misbruikt kan het geld zo terug laten storten.

Maar okay ze schenken er in het programma aandacht aan. Dat valt goed te begrijpen. Dat ze op de televisie stap voor stap laten zien hoe je de dienst kunt misbruiken vind ik veel te ver gaan. Ze laten in Kassa toch ook niet zien hoe we simpel een auto openbreken of de bank beroven? In dit geval heeft Kassa het probleem groter gemaakt door iedere nono te wijzen op de bug. Mijns inziens zal er nu veel meer schade worden geleden dan wanneer er geen aandacht zou zijn besteed.

Verwijderd @Neo_revisited • 16 januari 2005 10:55

Jij pleit voor "security through obscurity". Dat gaat lekker werken.

Probeer eens online aan het goede doel te doneren met "ghjghjdfgfgh" als naam en je rekening-nummer. Reken maar dat het van je giro af gaat. Niemand checked de naam bij het nummer.

Incasso's worden gewoon zonder controle verwerkt, kan daar niets aan gedaan worden? Als jij je pin-bonnetje uit de giromaat laat steken (waarom doen mensen dat?), dan kan een willekeurig iemand eens lekker gaan tell-sellen.

Als je binnen 10 minuten telefonisch met een automatische incasso bestelt, krijg je er een extra "sounds of the 70's" CD erbij.

Roflmao @Verwijderd • 16 januari 2005 15:17

Je verhaal klopt...

Niet helemaal.

Als jij een bon laat slingeren laat ie de eerste 3 cijfers ofzo zien. Niet de rest.

Het is dus niet zo dat je opeens van een bon de hele rekeningnummer kan aflezen.

Dan zouden we allang mensen zien die bonnen zouden "verzamelen".

Just my 0.02 cents.

solatis @Roflmao • 16 januari 2005 18:32

Bonnetjes laten slingeren is zowiezo een heel slecht idee. Als je met credit card betaalt staat er zelfs je nummer met exp. date op... lang leve bonnetjes

TheOneLLama @Neo_revisited • 16 januari 2005 19:12

Als er een BMW op de markt komt die je kan waarvan je gewoon de portier kan openmaken ondanks dat BMW beweert dat ie dan gewoon op slot staat, dan wil jij als potentieel BMW eigenaar dat toch wel weten of niet? Verder is het ook voor niet BMW eigenaren belangrijk (gevaar van joy riders etc.)

BMW zou binnen een dag al die autos gaan terughalen.

Nee, jij wou zeker dat ze bij Kassa zouden zeggen: "Groot lek in de dienst van MSN! Ze kunnen zo bij iedere nederlander 30 euro afschrijven! Maarre.. hoe of wat, dat gaat je niks aan." En dan zeker nog een woordvoerder van MSN erbij om te vertellen dat het allemaal mee valt...

Verwijderd 16 januari 2005 11:10

En mensen maken er nog misbruik van. Dit soort fouten komen slechts bij misbruik aan het licht... Beveiligen blijft onmogelijk. Dit is dan wel heel slecht beveiligd, maar betekend dat dat we hier misbruik van moeten maken?

xAn52 @Verwijderd • 16 januari 2005 11:36

Nee, ze laten zien hoe malafide downloaders jouw geld gebruiken voor het downloaden van muziek.
Als ik jou was zou ik maar eens je girootjes van deze maand nakijken op afboekingen van firstgate

Verwijderd @xAn52 • 16 januari 2005 13:09

Volgensmij is het legaler om muziek te downloaden van b.v. Kazaa dan muziek downloaden en iemand anders laten betalen. Het is nog minder moeite ook, dus waarom zou je downloaden met een ander rekeningnummer?

Verwijderd @Verwijderd • 16 januari 2005 13:27

legaler?
ehh, jaja. Dus het is illegaal om te downloaden en illegaler om op andermans kosten te downloaden?

Dances @Verwijderd • 16 januari 2005 13:45

In Nederland is het downloaden van muziek legaal. Zo lang je maar niets upload.
Aangezien het downloaden op andermans kosten onder "frauderen" valt en dit wel strafbaar is, heeft aliBENzine dus gelijk...

Verwijderd @xAn52 • 16 januari 2005 11:39

Automatische incasso's kan je tot 30 dagen terug laten storten... Dus wat dat betreft, kom maar kom maar kom maar

budi 16 januari 2005 11:42

Ik begrijp niet waarom ze voor de tussentijd, tot ze een betere oplossing hebben gevonden, niet gewoon de optie 'PIN later invoeren' verwijderen? In Kassa zeiden ze dat ze wilden dat de mensen meteen muziek kunnen kopen zonder op hun afschrift te wachten, maar ik vind dat geen excuus om gewoon dit probleem te laten voor wat het is.

fpepping @budi • 16 januari 2005 11:57

volgens mij heeft 9 van de 10 mensen in nl een internet rekening dus dan kunnen de mensen direct hun code aflezen. Wordt de code dan niet binnen 24 uur geactiveerd dan wordt het ged terug gestort. heeft niemand dus last van fraude, alleen mensen waar een poging daartoe is gedaan die zien opeens dat er eerst geld is afgeboekt en daarna weer bij geboekt.

Ronald @fpepping • 16 januari 2005 15:08

En dan doe ik aangifte, fraude plegen en dan het geld terugstorten is nog steeds fraude.

Methode is lek, afblazen opdoeken en wegwezen ermee.

Op dit item kan niet meer gereageerd worden.

Betaaldienst MSN Music slecht beveiligd tegen fraude

Lees meer

IT-banen

Reacties (85)

Sorteer op:

Weergave: