Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 232 reacties

Veertig Nederlandse bedrijven kunnen slachtoffer zijn geworden van een beveiligingslek bij het Deense betalingsbedrijf Dibs. Vrijdag bleek dat studenten door het lek anderhalve maand lang voor een paar cent pizza's konden bestellen.

Er zijn maximaal veertig Nederlandse bedrijven die van dezelfde betalingsmethode van het Deense bedrijf Dibs gebruikmaken. "We zijn momenteel bezig met al die bedrijven contact op te nemen", zegt Jisper Lohmann van Dibs. "Ook proberen we het lek zo snel mogelijk overal te dichten."

De kwetsbaarheid bleek ontstellend simpel te misbruiken, blijkt uit een test van Tweakers.net: het aanpassen van de html-code bleek genoeg om goedkoop pizza of shoarma te bestellen. Het lek zat bij Just-Eat op de pagina, waar de bestellingsmethode gekozen kon worden. Daar werden in verborgen input-velden de parameters voor de betaling doorgegeven, waaronder het bedrag in centen.

Door dat bedrag terug te brengen tot een paar cent, konden de studenten via de betaalmethode iDeal een klein bedrag afrekenen. Paymentprovider Dibs uit Denemarken, die de betalingen voor Just-Eat afhandelt, stuurde vervolgens een seintje terug naar Just-Eat dat het hele bedrag was voldaan. Volgens Dibs werkte die methode alleen in verschillende versies van de Firefox-browsers. Met Internet Explorer kon dit niet, zegt het betalingsbedrijf.

De studenten hebben voor ongeveer 30.000 euro aan eten besteld, maar rekenden per bestelling maar een paar cent af, schreef de Telegraaf vrijdagochtend. De fraude kwam aan het licht, toen op de administratie van Just-Eat de bankafschriften werden gecontroleerd. "Daar stonden bestellingen op van een paar cent en dat kan natuurlijk niet", zegt Just-Eat-directeur Laurens Groenendijk tegen Tweakers.net. Vervolgens werd conctact opgenomen met de studenten. "Die reageerden uiteraard geschrokken", aldus Groenendijk. Studenten van de Universiteit Utrecht ontdekten het lek en speelden deze door aan studenten van universiteiten Nijenrode en Groningen.

Inmiddels is de code van de betalingspagina van Just-Eat aangepast, waardoor het bedrag niet meer veranderd kan worden. Just-Eat roept alle studenten die het lek misbruikt hebben op om het bedrag terug te betalen. Ook Dibs doet dat, zegt Lohmann. "Het is een misdrijf, mensen moeten zich daar goed van bewust zijn."

Lek bij Just Eat Lek bij Just Eat
Moderatie-faq Wijzig weergave

Reacties (232)

Ik heb rond 17:15 vandaag besteld. Met Firefox add-on hidden fields zichtbaar maken, bedrag aanpassen naar 1 euro en submitten en daarna naar iDeal werkt nog steeds. Er is dan in je iDeal afhandeling het aangepaste bedrag van 1 euro (in mijn test) te zien.

…en nadeel. Just-eat herkent dat je het bedrag hebt aangepast en laten wel de iDeal afschrijving doorgaan, maar geven niks meer door aan de bezorger (Don Pizza in mijn test). Ik heb dit gecontroleerd door de betreffende bezorger te bellen. Ze hadden niks doorgekregen. Mijn afschrift online gecheckt en de euro was wel afgeboekt

Als genoeg mensen het dus blijven proberen, verdient Just-eat dus vanzelf z'n geld terug.

Simpele work-aorund, maar wel effectief.... en rendabel voor Just-eat :)
Tjsah, dat is wel een hele basic lek. Maar wat zou de reden zijn dat het in IE niet zou werken? Als ze het bedrag via broncode meegeven, dan is dat toch browser onafhankelijk?
Ik kan mij goed verplaatsen in Just-Eat. En vind ook dat zij volledig in haar recht staat.
Goed misschien was de beveiliging niet optimaal of van hoogstaand niveau ... maar de hongerige studenten hebben toch zelf actie ondernomen om de beveiliging/bedragen te omzeilen. Met andere woorden; met heeft er zelf bewust voor gekozen om de andere partij moet willig schade toe te brengen.

Als die jongens echt zo fair en onschuldig zijn als zij zich nu voordoen had er netjes een melding van gemaakt moeten worden. Is het dan na 2 weken nog niet verholpen; dan kan ik je geen ongelijk geven om er misbruik van te maken.

Voor Just-Eat is het natuurlijk wel een lelijk probleempje. 30.000euro aan voer, zijn stiekem best veel pizza. Just-eat zal nu waarschijnlijk die kosten moeten voorschieten. En denk ik niet meer terug zien. Maar ... als zij toch in de administratie aan het diggen zijn, kunnen ze alle gegevens terug halen (immers heeft de student met zijn eigen rekening |:( de scam gepleegd)

Dan is hier wel de discussie; al is het slot niet goed, dan mag men de fiets mee nemen. Slaat natuurlijk nergens op. Men wist van te voren gruwelijk goed wat men aan het doen was. En dus schuldig gemaakt heeft aan het plegen van een misdrijf. Al lijkt het in eerste instantie op een onschuldige kwajongens streek. Hier zijn mensen wel degelijk het dupe van geworden.

:Y) smakelijk
Punt hier is echter dat er geen slot op deze transactie aanwezig was. Er is niets gehacked, transactie is door beide kanten goedgekeurd en legaal verlopen. Ik denk dat, hoe duidelijk de oplichting ook is, dit niet zo makkelijk te verhalen is als het lijkt.
Nou, ik vind het triviaal. Just-eat lette niet op, net zo goed als die New York Pizza waar ze de slices gewoon op de toonbank legden en dan gingen roken. Of die Hema waar je de prijsjes van het ene product eraf kon peuteren en kon plakken op het andere product. Die transactie is echt niet legaal dan.
het is meer dat je naar de kassa gaat daar slaat de kassa 10 euro aan, jij zegt: "ik wil 10 cent betalen" en dat wordt geaccepteerd en je kunt met 10 cent betalen.

het hoort niet, maar je veranderd de waarde van wat je moet betalen. dit wordt naar de server gestuurt. de server accepteerd de invoer en stuurt het door naar ideal. het is erg knullig dat de invoer van een email adres beter gecontroleerd wordt dan de invoer van het te betalen bedrag (hoe kom je er op om het totaal ongecontroleerd en gecodeerd via de browser te laten passeren).
Een menselijke medewerker aan de kassa manipuleren is heel anders dan een computersysteem manipuleren.
Just-Eat is niet verantwoordelijk voor het afhandelen van de betalingen, het formulier post direct naar de paymentprovider, welke zodoende verantwoordelijk kan worden gehouden voor de geleden schade.
Zo te zien hebben ze bij JustEat ook werkelijk geen idee waarom dit niet in IE mogelijk zou zijn.

Ik neem aan dat dit gewoon met Firebug + Webdeveloper Toolbar i.c.m Firefox is gedaan!
Wat dus ook met andere pakketten kan!

Echt een stomme denkfout van hen!
Wij hebben twee pizza's besteld voor vijf cent met behulp van deze toetsenbordaanslagen:
Ctrl-U, Crtl-A, Crtl-C, Kladblok, Crtl-V, Crtl F '2248', Backspace, 5, Crt-S, JustEat.html, Enter.

Vervolgens de zelfgemaakte html openen en klikken op 'Betalen'. Daarna opent zich het iDeal-venster, kun je betalen en is het geregeld ;)

We konden echter niet meer checken of het inderdaad niet kon met IE (toen was het lek al gedicht), al lijkt het onlogisch dat die claim klopt: broncode gewijzigd opslaan als html en vervolgens openen lijkt me niet iets dat gerelateerd is aan een bepaalde browser. Misschien is het alleen gebeurd met Ff, dat kan misschien wel.

For the record: we zijn niet ingeseind door een van de studenten, maar hebben deze methode zelf opgespoord door een paar minuten de broncode door te kijken. Geen rocket science dus ;)
We konden echter niet meer checken of het inderdaad niet kon met IE (toen was het lek al gedicht), al lijkt het onlogisch dat die claim klopt: broncode gewijzigd opslaan als html en vervolgens openen lijkt me niet iets dat gerelateerd is aan een bepaalde browser. Misschien is het alleen gebeurd met Ff, dat kan misschien wel.
Ze zullen bedoeld hebben dat het native in IE zelf niet kan. In Firefox doe je het door middel van Firebug namelijk ook zonder Notepad, daar kun je namelijk "live" de HTML mee aanpassen en dat zie je direct terug in je viewport. Er zijn echter talloze manieren om dit ook zonder Firebug te kunnen doen en dat het mogelijk was is een hele grote oeps van de developer die zo stom was dit te schrijven.
Gewoon dit in de adresbalk uitvoeren:

javascript:document.getElementById('paymentform_amount').value='5';void(null);

Geen plugins nodig en werkt in elke browser :)
is dat niet hetzelfde als je naar een winkel gaat en je kruipt snel achter de kasse veranderd daar de prijs en koopt vervolgens het product?

dat zou dan toch ok fraude zijn.
dus ik vind ook als je zoveel aanpast en je weet waar je mee bezig bent het gewoon fraude is.
Van studenten mag je hogere morele waarden verwachten. Van mensen die intelligent genoeg zijn om een broncode na te kijken mag je hogere morele waarden verwachten.

Wanneer ik een cirkelzaag huur, boor ik elk fietsslot door. Dus het kan, dus het mag? Kom op.... dan ook mensen die het goedpraten, niet te geloven.

[Reactie gewijzigd door ByeSell op 16 oktober 2009 16:58]

Hij denkt dat het mag omdat hij journalist is. Alleen, volgens de Hoge Raad is dat niet zo. Hoop dat Tweakers' rechtsbijstandsverzekering in orde is.
Dat is alleen als hij die 5 cent ook echt afgerekend heeft, en de pizza's ontvangen heeft.

voor hetzelfde geld heeft ie in de laatste fase de betaling afgeblazen, en is er niets gebeurt. Als je de bestelling ziet bij die payment toko, met als bedrag "0,05", heb je de bestelling immers geplaatst, maar nog niet afgerond :)

(ik hoop alleen dat dat het geval is, anders is het inderdaad zoals je zegt, en ... hoop ik dat die verzekering inderdaad goed is)
Ik neem aan dat het gedaan is met een of andere firefox plugin. waarmee ze hidden velden kunnen editen. Het kan met elke browser (hell het kan met telnet) maar met een ff plugin is het het makkelijkst. Dat plus dat die mensen bij dibs duidelijk geen verstand van zaken hebben.
Vandaar ook mijn opmerking, dat is helemaal niet browser gerelateerd.
Hoe doe jij dit in IE dan? Firefox+Fireburg en Opera weet ik , maar met IE de DOM realtime manipuleren?

Of doel je op een shell zoals Maxthon oid?

Edit; oh wat daft_dutch zegt dus, in IE8 kan dat dus wel, nvm.

[Reactie gewijzigd door Peedy op 16 oktober 2009 13:52]

Kan ook met < IE8 met de Development Plugin.
Met een bookmarklet?
In de adresbalk iets intypen als: javascript:(function(){document.getElementById('veld').value=10;})()
Via firebug gaat dit verdomd makkelijk inderdaad. Heeft inderdaad weinig met de browser te maken, want met vanilla Firefox zal het je ook niet lukken.
Waarschijnlijk omdat IE geen DOM editor meegeleverd heeft gekregen, terwijl dit wel in de developertools van opera en firefox zit.
en dezelfde/vergelijkbare tools kun je vinden in IE plug-in directories...

overigens hoefde je hier niet eens de DOM te editen, je kon ook gewoon de pagina opslaan als html, vervolgens in notepad de html (hidden-field grand-total) editen, en de opgeslagen html openen in je browser... vervolgens op verzend klikken, en je ideal-inlog werd netjes weergegeven.
natuurlijk is de bug niet browser gerelateerd.
Maar niet alle browsers ondersteunen het aanpassen van html.
zodat de POST communicatie "gespoofed" wordt .

IE8 kan dit ook. Dibs is dus niet echt op de hoogte van browsers.

@barfieldmv
De fiets moet wel op slot staan of iets van inbraak. Anders is die niet per definitie gestolen.
iemand kan hem "lenen" en/of verplaatsen.
bijvoorbeeld Joyriden met een fiets zonder dat er iets beschadigt is, is Niet strafbaar.

pas wanneer de joyrider er zelf een slot om heen gooit of hem naar huis neemt is het een ander verhaal. dan wordt de joyrider de onrechtmatige eigenaar.

[Reactie gewijzigd door daft_dutch op 16 oktober 2009 13:50]

Toch denk ik dat het anders werkt op het moment dat je, wanneer je aan het joyfietsen bent, aangehouden wordt door de politie om te controleren of die fiets wel van jou is. Ik denk dat je dan al snel het bokje bent. Wel een interesante theorie trouwens.
...dan wordt de joyrider de onrechtmatige bezitter.
De eigenaar blijft eigenaar maar heeft niet meer het bezit van zijn fiets.
Meneer mijn fiets is gestolen.

Stond hij op slot?

Nee hoezo dan, mensen mogen toch niet stelen.
----------------------------------------------------------------------------------
Meneer mijn website is beroofd.

Was het goed beveiligd.

Nee.

Ok dan kan je al je geld terug vragen aan de dieven.
diefstal vs fraude.

fiets gestolen = diefstal. Diefstal blijft diefstal en als jij aangifte doet bij de politie, framenummer opgeeft (heb je toch wel ergens?), omschrijving, whatever, en de politie vindt 'm toevallig (gaan meestal niet op zoek naar jouw fiets, nee, ongeacht slot of niet), dan krijg jij je fiets na wat administratief gezeur (waar je voor zal moeten betalen) ook terug.

Dat de verzekering niet uit zal keren als jij ruiterlijk toegeeft dat je 'm niet op slot hebt gezet is een heel ander aspect.

Bij deze website ging het duidelijk om fraude (dat die studenten geschrokken reageren vindt ik dan ook hilarisch - je weet immers best dat je fout zit), en de commerce bedrijven en banken zullen ook vrij makkelijk (as ze aan de hand van de bestellings-items kunnen achterhalen wat het eigenlijke bedrag was) het geld kunnen vorderen - vooral ook omdat er gebruik is gemaakt van iDeal/credit card/whatever, i.p.v. handje contantje bij levering.

Die fietsendief is nu eenmaal niet zo makkelijk te herleiden, laat staan dat je die fiets gewoon zou kunnen vorderen.

Hopelijk laten ze het echter bij vordering van het geld - gezien de stupide fout - en gaan ze er geen daadwerkelijke fraude zaak van maken met aangifte bij de politie.
Aangezien ze toch van iederen Email en adresgegevens hebben neem ik aan dat ze eerst inderdaad vorderingen gaan sturen. Dat ze bij geen gehoor de politie inschakelen is dat logisch, maar dat direct doen zet waarschijnlijk veel kwaad bloed bij studenten.
En dat terwijl studenten waarschijnlijk voor een behoorlijk deel van de omzet bij just eat zorgen.

Neemt natuurlijk niet weg dat dit een ongelovelijk stupide fout is in het ontwerp.
je maakt een grapje hoop ik?

Sloten zijn om mensen buiten te houden, maar dat betekent niet dat je zonder slot zomaar alles mee mag nemen.

(neemt niet weg dat de ontwikkelaar van die module weinig van security begrepen heeft)
Maar waarom kan je dan toch fluiten naar je verzekerings-centen? Iets moet blijkbaar toch op een goede manier op slot zitten, dit was niet eens een slot wat "hack" betreft.
Er is natuurlijk een groot verschil tussen de eisen die een verzekering stelt en de wet...
verzekering is niet hetzelfde als juridisch...

de payment provider zal in dit geval ook niet verzekerd zijn voor de gelopen schade, en is verantwoordelijk voor alle schade die Just-Eat(en andere gedupeerde klanten) hiervan ondervinden.

overigens ben je als inbreker ook schuldig aan inbraak/huisvredebreuk als jij een 'onafgesloten deur' gebruikt om ergens binnen te komen, en vervolgens alles leeghaalt.
Maar waarom kan je dan toch fluiten naar je verzekerings-centen? Iets moet blijkbaar toch op een goede manier op slot zitten, dit was niet eens een slot wat "hack" betreft.
Ja de dief is gewoon strafbaar als stond de deur open, daar maakt de wed geen onderscheid in. Maar jij bent wel verantwoorden voor je contract met je verzekering en als die zegt dat je alles dicht moet doen en je doet het niet, is jet jou probleem. ;)

Maar dief gaat uiteraard niet vrijuit of zo. ;)
Je hele huis kan leeg gestolen zijn maar als er geen sporen zijn van inbraak (dus geen kapotte raampjes of geforceerde sloten) dan krijg je niks terug van de verzekeringen.
De vraag is niet of je geld terug krijgt van de verzekering, de vraag hier is ook niet of JustEat dit bij de verzekering kan declareren.

De inbreker die mijn hele huis leeg rooft als ik het niet op slot gedaan heb, is wel degelijk strafbaar.
Denk eerder bij de nalatigheid van het bedrijf die de website heeft gemaakt, dit is gewoon basis kennis en mag je wel verwachten dat variabele die niet veilig worden verzonden gecontroleerd worden, lieven helemaal geen gevoelige varibale verzenden via het url maar als het niet anders kan mag je verachten dat ze het wel controleren wat ze binnen krijgen in het script. Dat is dus een erg grove fout van de ontwikkelaar, dat is het eerste wat je doet je variabele checken die je via url binnen krijgt.

Dat bedrijft heeft een grove fout gemaakt en die is na mijn mening aansprakelijk voor hun werk, die ze niet goed hebben geleverd. Nogmaals dit is echt basis kennis en had zo niet gemaakt mogen worden, zijn ze nu zelf ook achter gekomen helaas.
Maar als de dief gepakt word krijgt die wel straf hoor,,,, Net zoals het openbaar ministerie kan overgaan tot vervolging als ze dat willen. Net zoals iDeal deze mensen kan blokkeren, Net zoals creditcard companies over 12 jaar als deze studentjes een baan hebben deze klanten kunnen weigeren.

Wacht maar tot je een baan zoekt in een sector waar wat onderzoek gedaan word. Dan kan die goedkope pizza je nog behoorlijk opbreken.
Maar hier zijn dus wel sporen van inbraak,

De vorborgen velden die aangepast zijn lijkt mij een spoor van inbraak:)
Wie zegt dat ze aangepast zijn door een gebruiker? Als deze zaak zulk prutswerk levert, lijkt me niet eens uitgesloten dat ze aan de ene kant in euro's werken en aan de andere kant centen afrekenen.
Dat is toch duidelijk dat de mensen de variabel in het url moeten veranderen en dan pas het url verzenden, studenten hebben dus bewuste handeling gepleegd om deze varibale met onjuiste waarden te verzenden.
Een fiets die niet op slot staat wordt vaak ook niet als gestolen beschouwd, maar als achtergelaten. Als jij jouw fiets achterlaat omdat je hem niet meer wilt hebben (is trouwens illegale afvalstorting) en ik zie dat ding staan, vind hem best bruikbaar en neem hem mee, dan is er geen sprake van diefstal. Staat hij niet op slot, mag ik hem als achtergelaten beschouwen, tenzij hij op jouw erf* staat of er op andere manier duidelijk is dat het ding geparkeerd staat ipv achtergelaten is. (* of bij iemand waar je op bezoek bent)

Of dit ook op gaat in bovengenoemd geval is punt twee. Als de deur van mijn huis open staat en jij komt binnen en neemt iets mee, is het wel gewoon diefstal.
Jij komt daar echter makkellijk mee weg, behalve als je op de beveiligingscamera's staat en, bv omdat je een bekende dief bent, bekend bent.

De verzekering gaat in dat geval echter niet vergoeden want die stelt als eis dat ik het goed als goed huisvader beheer..

[Reactie gewijzigd door BeosBeing op 16 oktober 2009 14:55]

Als ik mijn fiets ergens neerzet zonder hem op slot te zetten, en jij neemt hem mee, dan is dat diefstal.

JIJ zult moeten bewijzen dat ik de intentie had om afstand te doen van mijn eigendomsrecht. Zie art. 5:18 BW. En dat gaat je niet lukken, tenzij hij op precies die ochtend langs de weg staat dat het grofvuil langs gaat komen en de fiets er enigszins wrakkerig uitziet. Want "niet op slot staande fiets" is onvoldoende voor de conclusie "eigenaar wilde er vanaf". Ik kan gewoon vergeten zijn hem op slot te zetten.
Met als verschil dat je nu weet wie de dader is. Wie niet vrijwillig het geld stort krijgt een acceptgiro. Wie die niet betaald een deurwaarder. Dat lijkt me wel zo eerlijk, en simpel.
Deurwaarder inhuren kost geld: meer dan gewoon vorderen, en ook meer dan die pizza zal hebben gekost (of het moet al een order voor 10 pizza's of zo zijn).

Zoiets zou je dan ook in dit soort zaken alleen uit principe ("het is fraude en dat moet aangepakt worden!") moeten doen. Gezien de omstandigheid, echter, lijkt me dat ook niet al te best. Uiteindelijk zou Just Eat die kosten moeten verhalen op Dibs. (of...andersom, maar net hoe je 't bekijkt).

Zolang de restaurants maar schadeloos worden gesteld :)
Dat zou de deur openzetten voor een interessante verkooptechniek!

- bied je waar aan voor de helft van de prijs
- lever de waar
- stuur een naheffing

Wel zo eerlijk en simpel!
In principe kan je een boete krijgen als je je fiets niet op slot zet. Misschien zouden ze dat ook bij slecht beveiligde betaalsites moeten doen.
Apart, dat wist ik niet.
Heb je toevallig ook een bron?

Edit: Ik heb zelf een bron gevonden: fok.nl.

[Reactie gewijzigd door crizyz op 16 oktober 2009 14:01]

Het kan, maar dat verschilt per gemeente. De APV kan namelijk bepalen dat je geen overlast mag veroorzaken, en op basis daarvan kan een gemeente oordelen dat je ongeregeldheden door fietsendieven veroorzaakt door je fiets niet op slot te zetten. Het is krom maar het lijkt legaal.

Een bak met geld uitstorten over het marktplein is waarschijnlijk ook verboden onder APV's.
Je metafoor gaat niet op in dit geval, maar moet zijn:

- meneer mijn fiets is gestolen
- weet je ook door wie?
- ja, die heeft het gedaan
- nou, dan bellen we de politie en die haalt je fiets terug.

Als je weet wie je beroofd heeft, kan je het geld terugeisen.
Moet je wel kunnen bewijzen dat het de jouwe is..
Meneer mijn fiets is gestolen.

Stond hij op slot?

Nee hoezo dan, mensen mogen toch niet stelen.
----------------------------------------------------------------------------------
Meneer mijn website is beroofd.

Was het goed beveiligd.

Nee.

Ok dan kan je al je geld terug vragen aan de dieven.
Je maakt hier een goed punt eigenlijk, het is te idioot voor worden dat tegenwoordig alles maar zonder risico's moet.

Bank failliet? Dan betaald de overheid jou en dwingen vervolgens het land van herkomst van de desbetreffende bank om alles terug te betalen.

Als je zo dom/incompetent bent om dit te laten gebeuren, dan mag je wat mij betreft op de blaren zitten en hopelijk leren ze er wat van. De kosten voor de terugvordering op de studenten zal er natuurlijk ook nog eens in resulteren dat zij de administratieve kosten hiervoor mogen betalen.

Beetje te simpel zo om zonder zorgen, moeite en nadenken een bedrijf de wereld in te slingeren.
true, maar de verzekering geeft je geen geld als je sleutel in het slot heb laten zitten.
Je vergeet wel even dat er in Nederland een boete staat op het niet op slot zetten van je fiets.

Verder zullen ze de fietsendief graag willen oppakken, maar dit gaat wel een stukje moeilijker dan mensen die hun eigen rekeningnummer hebben achter gelaten..
Zo, dat had ik ook moeten weten ;)

Wel vreemd dat voor zo'n website dit zo makkelijk is. Gelukkig is Just Eat nu de dupe ipv de consument. Het zal nog wel een lange procedure worden willen ze alle bedragen terug krijgen.
Ik denk dat dat vrij eenvoudig is, welke student wil daarvoor een strafblad? De rest van je leven zal worden beÔnvloed door de juridische gevolgen van een dergelijke streek.

Dus het is een kwestie van aangifte doen of dat achterwege laten bij terugbetaling.
Dit kan je toch geen hacken noemen, dus waarom een strafblad? Die studenten hebben enkel wat onbeveiligde informatie aangepast. Dat de website zo dom in elkaar zit dat er volledig wordt vertrouwd op de informatie die de klant toestuurt .... |:(

Het verbaast me dat men tegenwoordig een website nog zo slecht in elkaar kan zetten dat het bedrag via de klant z'n browser (en weer terug!!) wordt verstuurd (dit is geen programmeer fout, maar het proces klopt gewoon niet). Enkel het aantal en het product id zou terug naar de server moeten worden verstuurd, de totalen moeten op de server worden uitgerekend. Dit is gewoon amateuristisch prutswerk!
Ik kan u garanderen dat je wel schuldig bevonden zal worden bij de rechtbank.
In BelgiŽ dan toch.
Een strafblad heb ik er niet aan overgehouden (voorwaardelijk ofzo kreeg ik)
En in mijn geval ging het om versturen van smsen waar ik de kost van aangepast had op exact dezelfde manier.
Je hebt er in ieder geval niet voldoende aan overgehouden voor een goede advocaat. :P
Het maken van zo'n blunder in je software, is zo ongelooflijk dom, dat het niet anders kan dat er een keer "gebruik" van wordt gemaakt. Het probleem is al jaren bekend en het niet oplossen, is gewoon uitlokking.
daarnaast getuigd het niet van goed ondernemerschap, als je het pas na € 30.000,- (> 3000 pizza's) merkt. Ik denk dat het een goed idee is als de FIOD ook eens een kijkje in de boekhouding gaat nemen.
Het probleem is al jaren bekend en het niet oplossen, is gewoon uitlokking.
Is het buiten zetten van appels door de groenteboer dan ook uitlokking?
Ook al is al sinds de middeleeuwen bekend dat dit de diefstal drempel fors verlaagt?
Ik denk dat je op de koffie komt als je er een steelt en je wordt gepakt

(edit typo)

[Reactie gewijzigd door SimonKroller op 17 oktober 2009 22:45]

"daarnaast getuigd het niet van goed ondernemerschap, als je het pas na € 30.000,- (> 3000 pizza's) merkt."

Hangt er helemaal vanaf hoeveel transacties je normaal verwerkt....
Als je 6000 pizza's in zo'n periode afrekent moet het opvallen. Als die Deense toko 3.000.000 transacties doet zie je het niet direct.
Als jij voor 50 euro een mooie fiets met 7 versnellingen koopt op straat, gaat justitie er van uit dat jij weet dat die fiets gestolen is, immers een nieuwe kost 600+ euro. Idem hier natuurlijk, een pizza kost via die weg toch 5 a 6 euro, en als jij er zelf 10 cent oid van maakt weet je echt wel dat je strafbaar bezig bent, zeker gezien het feit dat je er webpagina's etc voor aan moet passen.

Als je het als klokkenluider wilt doen, bestel je 1x zo'n pizza en geef je het door aan het bedrijf, het continu blijven doen en ook nog doorgeven aan anderen is natuurlijk strafbaar.
Idem hier natuurlijk, een pizza kost via die weg toch 5 a 6 euro, en als jij er zelf 10 cent oid van maakt weet je echt wel dat je strafbaar bezig bent, zeker gezien het feit dat je er webpagina's etc voor aan moet passen.
Het TCP/IP protocol garandeert niet dat wat je verstuurt ook daadwerkelijk aankomt. Dus het kan net zo goed onderweg gebeurd zijn als ze de gegevens niet controleren die vertrekken en aankomen (hash check bv).
Misschien eventjes je kennis van TCP opfrissen: http://en.wikipedia.org/wiki/Transmission_Control_Protocol en met name: In particular, TCP provides reliable, ordered delivery of a stream of bytes from a program on one computer to another program on another computer. Besides the Web, other common applications of TCP include e-mail and file transfer. Among its other management tasks, TCP controls segment size, flow control, the rate at which data is exchanged, and network traffic congestion.
maar het biedt geen garantie!!! ik heb op een hogeschool een paar blokken Telematica gegeven, dus als het goed is er wel een klein beetje verstand van Kurose en Ross en Andrew Tanenbaum zijn het er in hun boeken iig mee eens dat TCP niet honderd 100% betrouwbaar is. Er zit wel een ACK in, maar bitjes kunnen omvallen en dat is wat HIGH VOLTAGE2 aangeeft. Als je binair kon rekenen wist je dat een 1001 en 0001 niet zo veel van elkaar verschillen, maar toch wel een groot verschil maken op je bankrekening.
TCP heeft alleen QoS voorzieningen, maar laat voor de enorme vaak ongewenste overhead checksums etc. door applicatieslaag doen.
TCP heeft alleen QoS voorzieningen, maar laat voor de enorme vaak ongewenste overhead checksums etc. door applicatieslaag doen.
Onzin, TCP heeft gewoon een 16-bit checksum, zie de TCP header layout.
Bij ideal basic is het vrij normaal dat alle bedragen en overige info van een order meegestuurd worden in het formulier. Echter als ze de volledige implementatie van ideal aangehouden hadden. Want het loopt hier natuurlijk via dibs en niet rechtstreeks naar ideal dan hadden ze in het formulier netjes een hashcode opgenomen. Deze checkt op basis van je order gegevens en nog wat gegevens die alleen bij de website en ideal bekend zijn of alles overeen komt. Dan had het aanpassen van post gegevens ook geen zin gehad. Flink stomme programmeer fout dus. Maar niet onlogisch dat de gegevens via het formulier meegestuurd worden.
Mee eens, ik bedoelde natuurlijk enkel de onbeveiligde informatie. I.c.m. met controle hash, of encrypted is natuurlijk een ander verhaal ;)

edit:
Het feit dat er de gegevens niet versleuteld of beveiligd zijn sluit 'hacken' eigenlijk al uit. Overigens zou dit manipuleren ook door een storing, proxy server of de browser kunnen zijn gebeurd. Als de website die gegevens volledig vertrouwt ...
Indien de gemanipuleerde gegevens daarna ook nog in een overzichtje zijn gepubliceerd dan is de leverancier er eigenlijk mee akkoord gegaan ;)

[Reactie gewijzigd door DavidAxe op 16 oktober 2009 16:25]

Mee eens, ik bedoelde natuurlijk enkel de onbeveiligde informatie. I.c.m. met controle hash, of encrypted is natuurlijk een ander verhaal ;)

edit:
Het feit dat er de gegevens niet versleuteld of beveiligd zijn sluit 'hacken' eigenlijk al uit. Overigens zou dit manipuleren ook door een storing, proxy server of de browser kunnen zijn gebeurd. Als de website die gegevens volledig vertrouwt ...
Indien de gemanipuleerde gegevens daarna ook nog in een overzichtje zijn gepubliceerd dan is de leverancier er eigenlijk mee akkoord gegaan ;)
Ach, het is een beetje te vergelijken met de "televisie-voor-1-cent"-discussies. Daar menen veel mensen in hun recht te staan omdat de webshop ze een factuur met daarop het bedrag van 0,01 euro heeft gestuurd. In de praktijk blijkt echter dat de klant moet beseffen dat de prijs onjuist is, en dat er daardoor in feite geen sprake is van een koopovereenkomst. Het geld en het product moeten dan gewoon terug.

Wat natuurlijk wel anders is, is dat er in dit geval sprake is van een door de klant ondernomen actie om de prijs lager te krijgen. Ik denk niet dat dit in het voordeel spreekt van die klant in het geval van een rechtszaak.
Wat de studenten fout hebben gedaan is verboden onder wetsartikel 350a en 350b WvSr

Strafbaar is: Het vernielen en veranderen van gegevens
Criteria voor strafbaarstelling:
- Er moet sprake zijn van gegevens.
- De gegevens zijn door middel van een geautomatiseerd werk opgeslagen, worden verwerkt of worden overgedragen
- De gegevens worden opzettelijk en wederrechtelijk veranderd, gewist, onbruikbaar of ontoegankelijk gemaakt

Hangen dus, die studenten, strafblad, 4 jaar studie weggegooid vanwege een jeugddwaasheid.

Graaicultuur. Studenten die hun toekomst voor een gratis pizza in de waagschaal zetten, zijn niet zo veelbelovend in functies waar betrouwbaarheid een rol speelt. Pech, natuurlijke selectie, Darwinisme, ongelooflijke klungelaars, sukkels..

[Reactie gewijzigd door SimonKroller op 17 oktober 2009 21:14]

Ik zou het geen programeerfout willen noemen, eerder een geval van ontwerp-fout in combinatie met falende security audits. Eigen schuld dikke bult.
? Die studenten hebben enkel wat onbeveiligde informatie aangepast
Als jij in de winkel met monopoly-geld betaalt is dat ook strafbaar.

Dat iets kan, betekent niet dat iets mag.
Nee, hoor. Als de winkelier het accepteert mag je met alles betalen wat je wilt.
Ruilhandel heet dat en daar is helemaal niks aan verboden.
Nee, het mag niet. Je mag je eigen geld niet als officieel geld gebruiken. De term betalen houdt in dat geld een rol speelt.
Ruilhandel is iets anders dan betalen. Die begrippen moet je niet verwarren.
Ze gebruiken echt geld, echter te weinig. Als de winkelier dat accepteert is het gewoon een geldige transactie lijkt mij. Net zoals jij je wisselgeld goed na moet tellen moet de winkelier goed opletten dat (minimaal) het gevraagde bedrag gegeven wordt.
Ze gebruiken echt geld, echter te weinig.
Mijn reactie was in de context van monopolygeld van Hensz. Misschien is dat handig om te weten als je op deze plaats op mij reageert

[Reactie gewijzigd door SimonKroller op 17 oktober 2009 20:16]

Er zijn genoeg bedrijven die eigen 'geld' gebruiken, normaal gesproken als bijde partijen het eens zijn (bank-checks, spaarzegels, airmiles, etc). En uiteraard Goudd

Ik dacht dat ze alleen *verplicht* waren om officieel geld te accepteren. (economieboek: hoofdstuk ťťn)

Maar op een of andere manier komen obenbaarvervoerdiensten hier onder uit, die zijn de enigen in die alleen hun eigen 'geld'systemen accepteren: strippenkaart, OV-chip, en *ECHT* geld wijgeren.
Onzin, de winkelier vroeg je om met geld te betalen en jij misleidt hem door waardeloze papiertjes te geven die voor geld door moeten gaan. Dat is oplichting. Wil je ruilhandel, dan moet je aanbieden om te ruilen, en dan moet duidelijk zijn wat je waartegen wil ruilen.

Eerlijk gezegd doet deze stunt me meer denken aan de ouwe truc van een prijsje van 50 cent plakken op iets duurs. "Enkel wat onbeveiligde informatie aanpassen".
Eerlijk gezegd doet deze stunt me meer denken aan de ouwe truc van een prijsje van 50 cent plakken op iets duurs. "Enkel wat onbeveiligde informatie aanpassen".
Is dat illegaal dan? Of moet de winkelier daar zelf goed op letten?
Is dat illegaal dan?
Dat is inderdaad verboden. Je mag niet zonder toestemming artikelen/gegevens van anderen veranderen.

(edit typo)

[Reactie gewijzigd door SimonKroller op 17 oktober 2009 23:56]

Dat is inderdaad verboden. Je mag niet zonder toestemming artikelen/gegevens van anderen veranderen.
dat is een leuk statement. nu krijgen we echter wel de vraag: de HTML code staat op de pc van de "klant". van wie is die HTML code dan eigenlijk?

overigens gaat dit statement natuurlijk compleet voorbij aan het morele bezwaar wat je zou moeten hebben tegen deze studenten. moreel gezien moeten ze het gewoon terugbetalen.

wettelijk gezien kan dit misschien heel anders lopen.
Dat mensen dit kunnen goedpraten is beyond me. Misschien moet je de politiek in.
Hoe je het ook went of keert, diefstal moet gestaft worden.

Jouw vergelijk van simpele informatie aanpassen klopt niet, want bij heel veel winkels kun je op simplete wijze wat onttvremen, dat maakt het nog steeds niet minder diefstal.

Wie zei dat laatste ook al weer hier?

Don't do the crime, if you can't do the time.

Ries
Ja dit is hacken. Uiteraard niet op het niveau van wat hier normaal langskomt maar het exploiten van een bug is een hack ;)

Dat dit prutswerk is van de bovenste plank lijkt mij duidelijk, maar ik meen me ter herinneren dat OScommerce een soortgelijke fout een jaar geleden in hun code had.
Dit kan je toch geen hacken noemen, dus waarom een strafblad?
Ook al was het simpel, het blijft verboden. Het is duidelijk dat de verkoper niet de bedoeling had om iets weg te geven aan mensen die een trucje kende.
Dat is erg overdreven, niemand gaat daar een strafblad voor krijgen. Dat bedrijf zal niets anders kunnen doen dan een keer lief vragen of ze alsnog wilen betalen, want meer dan dat weegt al snel niet meer op tegen de kosten. Een strafblad voor het niet betalen van een pizza laat me niet lachen.
Het wordt natuurlijk anders als iemand 1000 euro aan pizza's heeft gekocht voor 1 cent, maar in de andere gevallen zal het bedrijf gewoon zijn verlies moeten accepteren.

Zie je het al voor je? "u heeft 1,5 maand geleden een pizza bij ons besteld en maar 1 cent afgerekend. wij eisen alsnog de 6 euro die u had moeten betalen, anders gaat u de gevangenis in."
Dit is gewoon diefstal, daarvoor zal aangifte gedaan worden. Dat lijkt me niet meer dan logisch.
Ik geloof dat het geen diefstal is, maar wel fraude. Er is namelijk door de site akkoord gegaan met het transactiebedrag. Er is dus levering alsmede een betaling geweest.

Overigens is het spoofen van de POST header geen hacking in mijn ogen. De response is namelijk altijd onbetrouwbaar en men moet verwachten dat die aangepast kan worden. Ik weet niet of er al jurisprudentie over POST spoofing is, maar het lijkt men dat men kan anvoeren dat er via een protocol gecommuniceerd wordt en dat de reply volledig onder controle staat van de browser en dat me de juiste browser dit altijd mogelijk is. Het is dus een fundamentele functie in het protocol die door de site niet goed is afgehandeld.

Het is juridisch gezien geloof ik ook geen hacking omdat geen toegang wordt verschaft tot het systeem, maar wellicht dat Wb. Str. Art. 161 sexies lid 2 punt 2 nog van toepassing zou kunnen zijn.

[Reactie gewijzigd door ocf81 op 16 oktober 2009 15:08]

I agree, volgens mij is hier het koopcontract al gesloten voor de prijs van €0.05 oid, Dat dit zo kon is de schuld van DIBS en deze zullen de onkosten ook moeten betalen lijkt mij.


Dit is GEEN hacken!, daarvoor is het te simpel en de desbetreffende site teveel prutswerk.
Dit is bug-abuse
Ik verwacht niet dat die studenten het geld terug zullen betalen hoor, hier zul je ook niet bepaald een strafblad voor krijgen.


Offtopic:
Zou ook wel een pizza willen bestellen voor €0.05:p
Alleen al het feit dat je bewust die prijs aanpassing moet doen, maakt dat je schuldig bevonden zult worden.
Dus als ik iets wil kopen, de verkoper noemt zijn prijs, ik stel een wat lagere prijs voor end dan ben ik ineens strafbaar? De verkoper kan dan zeggen 'Daar ga ik niet mee akkoord" en dan is de keuze weer aan mij, of de verkoper gaat er wel mee akkoord, zoals deze pizzaboer dus ook deed, en dan is er een volkomen legale deal gesloten.
ik stel een wat lagere prijs voor end dan ben ik ineens strafbaar
Je hebt in dit geval geen andere prijs voorgesteld, maar je hebt gedaan alsof je de gevraagde prijs zou betalen. Waarschijnlijk heb je ook voor de gevraagde prijs op een "akkoord" geklikt, terwijl je door een technisch trucje de prijs veranderd hebt, zodat het "akkoord" niet slaat op het geldbedrag dat je werkelijk gaat betalen.
Ben ik niet mee akkoord. Jij stelt een nieuwe prijs voor en de site accepteert het... Als de prijs niet met het formulier verstuurd wordt, maar op de website blijft dan kun je geen nieuwe prijs voorstellen.
In de wet staat dat niet. De wet spreekt steeds over vernieling en vaak ook enkel in combinatie met het binnendringen van de machine, en dit is slechts een onverwacht antwoord geven.
Mee eens, dit is geen computervredebreuk. Het is wel oplichting, met "listige kunstgrepen" een object van waarde te pakken krijgen tegen de wil van de eigenaar in.
Tsjee, gezien je achtergrond hecht ik wel waarde aan je oordeel, maar is het afrekenen in de supermarkt met 10 euro waar 100 euro gevraagd wordt ook een "listige kunstgreep" of een domme doos achter kassa?
of een domme doos achter kassa?
Bedoel je dat de domheid is gekoppeld aan het geslacht van diegene die de kassa bediend?
Dit is GEEN hacken!, daarvoor is het te simpel en de desbetreffende site teveel prutswerk. Dit is bug-abuse
Oh kom op. De moeilijkheidsgraad is totaal niet relevant. Het is ten eerste een hack in de zin dat je iets doet wat niet door de maker ervan bedoeld is. Ten tweede is het een hack in de zin van een crack waarmee je een systeem valse signalen stuurt om iets te bereiken.

[Reactie gewijzigd door .oisyn op 16 oktober 2009 16:33]

Dat hangt ervan af hoe het formulier in elkaar steekt. Als het formulier een factuur is, dan kun jij als klant altijd veranderingen aanbrengen, de verkoper kan daar mee akkoord gaan of niet.

Dit is hetzelfde als een cheque geven en daarop schrijven: 1 euro - volledig betaald. Je kunt dat doen als je bijvoorbeeld het niet eens bent met alle kosten die op een factuur staan (vooral bij een aannemer of een autoreparatie) en je betaalt enkel de kosten waarmee je akkoord gaat. Als de verkoper of dienstverlener de cheque ophaalt bij de bank dan is hij daarmee in principe akkoord gegaan. Als de verkoper de beslissing overlaat aan een computer (en grote bedrijven doen dat soms met enorm grote contracten - er wordt van alles in een computer gestoken en de computer geeft dan aan hoe riskant het is, hoeveel winst er verwacht wordt etc.) dan is dat de verkopers schuld als de computer verkeerd beslist. Eenmaal de betaling aanvaard wordt door de verkoper is er echt weinig aan te doen.

Als de verkoop echter al afgesloten was en de koper heeft zichzelf akkoord verklaard met een bepaald bedrag (elektronisch of niet) en daarna niet of onvolledig betaalt door vb. een cheque van mindere waarde te schrijven of bij een VISA kaart de betaling terugdraait zonder geldige reden dan kan de verkoper de betaling afeisen. Indien niet in persoon, dan wel via het rechtssysteem. Of dit fraude is (het niet of onvolledig betalen van een factuur) in Nederland weet ik niet.

Wat werkelijk fraude zou zijn is het betalen met een ongedekte cheque of betalen met een vervalste cheque, gestolen kaart. Je kunt wel degelijk met monopoly-geld betalen zolang het monopoliegeld duidelijk onderscheidbaar is van het papier dat een Euro voorstelt. Je kunt echter niet beweren dat het monopoliegeld een 1:1 waarde heeft tov de Euro of dat het monopoliegeld Euro's zijn.

Als ik pizza's bestel via de website in mijn buurt dan kan ik online mijn kaartgegevens doorgeven en bij levering wordt mijn kaart aangerekend. Als ik een foutje ontdek op de site en hiervan misbruik maak, dan gaat de leverancier mij opbellen of zelf de rekening aanpassen of gewoon niet leveren. Eenmaal aan mijn deur moet ik wel aftekenen op een soort van factuur (en er staat op hoeveel pizza's, leveringskosten en taks) en dan krijg ik de pizza's. Als ik oneens ben met het bedrag of de kwaliteit van de pizza's dan heb ik nog steeds niet betaald, ik weiger en dan zit de leverancier met de pizza's. In dit geval van Just-Eat had de leverancier echter de betaling reeds aangenomen dus moet ie de pizza's maar leveren ongeacht of hij hierop verlies maakt of niet.

[Reactie gewijzigd door Guru Evi op 16 oktober 2009 23:11]

Het wordt natuurlijk anders als iemand 1000 euro aan pizza's heeft gekocht voor 1 cent, maar in de andere gevallen zal het bedrijf gewoon zijn verlies moeten accepteren.
Er is voor 30.000 euro aan pizza's afgerekend met een paar cent per stuk en de (bank)gegevens van de daders zijn bekend. Kwestie van een paar gasten voor de rechter brengen en de rest confronteren met de voor hun ongunstige resultaten dus. Werkelijke kosten van de pizza betalen, verhoogd met een aardige opslag voor incasso, is eenvoudiger en voordeliger. Gevangenisstraf zal jer niet snel krijgen, maar een boete rond de 100-150 euro - vergelijkbaar met winkeldiefstal - lijkt me zeer reŽel.

De methode van afrekenen voor 1 cent is overigens nogal opvallend natuurlijk. Zelfs een student had kunnen begrijpen dat al die posten van 0,01 euro gaan opvallen op een bankafschrift. Een aantal pizza's bestellen voor de prijs van ťťn had jarenlang onopgemerkt gebleven waarschijnlijk...
Voor de bedragen waar het om gaat kun je geeneens een rechtszaak beginnen. Ook een incassoprocedure kost mee dan het oplevert. Ervan uitgaande dat heel veel verschillende personen dit truukje hebben toegepast. Just-eat kan hooguit vriendelijk vragen het geld te storten.

Overigens blijkt dit lek al een jaar geleden door iemand te zijn gemeld aan de directie van Just-eat (zie nu.nl).
Ze kunnen een aangifte achterwege laten indien het geld wordt betaald. Ik denk dat veel studenten wel voor deze optie zullen kiezen, want een aangifte is dermate spannend en onvoorspelbaar van afloop. Bij een verkeerde afloop heb je zo'n beetje voor niks gestudeerd.
Als het om heel veel studenten gaat, dan is het een gigantische klus om al die aangiftes te doen en zich toe te voegen aan de rechtszaken. Dat kost Just-eat al meer aan administratieve rompslomp en advocaten dan de schade ten gevolge van het lek. Bovendien moet er dan nog iets met de aangiftes worden gedaan door de politie en ik heb zo'n vermoeden dat die andere prioriteiten heeft dan de pizza-gate. Stel dat het voor de rechter komt, dan is er ook nog de kans dat de verdachten worden vrijgesproken omdat het lek al zo lang bekend was.
Ik denk dat een telefoontje naar de student, en die belt zijn Pa, dat die snel eieren voor zijn geld zal kiezen. Een strafzaak met ongewisse afloop is een ernstige bedreiging.
Als het om heel veel studenten gaat, dan is het een gigantische klus om al die aangiftes te doen en zich toe te voegen aan de rechtszaken.
Ze hoeven niet naar de rechtszaken, het zijn strafzaken die zonder aanwezigheid van het slachtoffer (Just-Eat) kunnen plaatsvinden. Ook hoeft de dader niet aanwezig te zijn. Dit zijn hamerslag-rechtszaken.

Aangifte doen kan met een uitdraai van de bank van de een cent betalingen, uurtje werk. Het hoeft niet door een advocaat te gebeuren, maar kan door iedere gemachtigde medewerker van het bedrijf.

De politie komt ook voor een kleine winkeldiefstal, ter waarde van een pizza, naar V&D. Waarom zouden ze dan geen moeite doen om honderden misdrijven in een klap te registreren waarvan de daders met naam en toenaam bekend zijn?

Of de verdachten wel of niet worden vrijgesproken is een zaak voor de rechter. Een langer bekend staand lek is volgens mij geen reden tot vrijspraak. Vrijspraak betekent immers dat je wordt vrijgesproken van het plegen van een misdrijf. Daarvan kan geen sprake zijn.

Misschien wel tot een strafvermindering, of zelfs geen straf. maar het strafblad blijft een feit. Dit zal voor altijd in de justitiŽle registers terug te vinden zijn.

En het gÍnante is niet eens alleen de daad, maar het feit dat een student zo dom was om zijn naam als bewijsmateriaal achter te laten bij een achterhaalbaar misdrijf met als beloning een gratis pizza. Zou jij zo'n type voor een belangrijke bestuursfunctie aanbevelen? Dit is werkelijk treurig

Werkelijk heel gÍnant, ook voor Nyenrode waar een deel van de daders studeerde.

[Reactie gewijzigd door SimonKroller op 18 oktober 2009 10:08]

de politie komt helemaal niet voor kleine diefstal, het stond een jaar geleden nog in de krant dat een benzinepomp meerdere malen wordt bestolen aan sigaretten. De politie zegt echter niks te kunnen doen. (Terwijl er natuurlijk gewoon camera's hangen, maar dat schijnt niet afdoende te zijn in ons kunffellandje)
Je verwart een misdrijf met voortvluchtige dader met een misdrijf waarvan de dader aangehouden is en wordt vastgehouden, zoals een aangehouden winkeldief bij V&D.
Verder niet zo belangrijk, het was een voorbeeld.

Het ligt hier toch weer anders, het gaat om 30 mille die is verduisterd, honderden misdrijven die zijn gepleegd en de daders zijn bekend met naam en adres en benodigd bewijsmateriaal is rond. De politie hoeft niet eens uit de stoel op te staan om de zaak rond te krijgen. Het proces-verbaal kan in een moeite door naar de officier.
Zeg maar, met hetzelfde gemak als een verkeersovertreding.

Honderden misdrijven rond krijgen zonder zelfs uit je stoel te komen, daar droomt iedere politieman van.

[Reactie gewijzigd door SimonKroller op 18 oktober 2009 15:04]

Ik las laatst een stuk in de krant over vetverwerkingsbedrijven. Die lopen miljoenen aan omzet mis vanwege diefstel van vet (met vet is vet veel geld te verdienen!). Ze hebben de daders gefilmd, vastgehouden (politie wilde s'nachts niet komen), namen van personen en bedrijven zijn bekend en toch doet justitie helemaal niets. Sorry, maar ik twijfel sterk of pizzadieven wel prioriteit hebben. De politie wordt ook afgerekend op in hoeverre een type misdaad een maatschappelijk probleem vormt. Voor miljoenen aan vet stelen is dat in ieder geval niet. Van mij zijn voor de deur al 3 (oude) autoradio's uit mijn auto gestolen. Ook nooit meer iets van gehoord. Een bedrijf is 30 mille kwijt vanwege een suffe fout waar mensen handig gebruik van hebben gemaakt. Er is (in volgorde van belangrijkheid volgens de politiek) geen kamerdebat over geweest en niemand is dood gegaan of gewond geraakt. Trek zelf uw conclusies.
Moet ik nu een klein gevalletje noemen waar de politie wel aandacht voor had? En gaan we dan nog een tijdje door ermee?

Eentje dan, van een week geleden:
Een 50-jarige man uit Hengelo werd vrijdagmiddag 16 oktober aangehouden, omdat hij een winkeldiefstal had begaan.
http://www.politie.nl/twente/nieuws/091018302winkeldief.asp

[Reactie gewijzigd door SimonKroller op 18 oktober 2009 21:06]

Slecht voorbeeld: Bij navraag bleek dat de man, een 50-jarige HengeloŽr nog enkele dagen gevangenis tegoed had. Hij is in verzekering gesteld. Hoe kan dat vraag ik me dan af...
Zie je het al voor je? "u heeft 1,5 maand geleden een pizza bij ons besteld en maar 1 cent afgerekend. wij eisen alsnog de 6 euro die u had moeten betalen, anders gaat u de gevangenis in."
In principe kan het wel, alle bestellers zijn te traceren (iDeal).
Hacken kun je het niet noemen, daarvoor is het te simpel en de desbetreffende site teveel prutswerk. Dit valt waarschijnlijk onder valsheid in geschrifte of onder oplichting (je maakt mensen wijs dat je betaald hebt terwijl dat niet het geval is of fraude)

Dat traceren zal makkelijk zijn voor de 1 cent bestellingen. Voor wie echter 3 pizza's bestelde en er als bedrag dat voor 1 afrekende (of een dure pizza afrekende tegen de prijs van de goedkoopste) zal dat al wel een heel stuk moeilijker zijn. Afhankelijk van hoe de gegevens opgeslagen zijn die mischien wel helemaal niet te traceren of kost het dusdanig veel moeite dat het niet loont

Staat alles in een mooie database met aantallen per bestelde variant en afgerekende prijs dan is ehet maar kwestie van een query loslaten.

Als niemand had het had doorverteld zodat slechts een enkeling er gebruik van had gemaakt (nl wie er bij toeval achter was gekomen) en er op tijd mee was gestopt, dan was er mischien nooit iemand achter gekomen.

[Reactie gewijzigd door BeosBeing op 16 oktober 2009 14:46]

voor 30.000 euro verlies kun je toch minstens een student een jaar aan het werk zetten :)
voor 30.000 euro verlies kun je toch minstens een student een jaar aan het werk zetten :)
Ja, maar al dat verlies komt niet van 10 studenten. Het komt misschien wel van honderden studenten, in dat geval ben je dus bijzonder veel geld kwijt aan bijv. een advocaat. Bovendien ben je erg veel tijd kwijt, want je moet alle rechtszaken afzonderlijk voeren.

Ik denk dat achtervolging niet echt een mogelijkheid is voor Just-Eat. Wellicht dat de originele vinder gepakt kan worden op het feit dat hij het heeft verspreid en daarom verantwoordelijk gehouden kan worden voor de schade (waarom?)

[Reactie gewijzigd door Patriot op 17 oktober 2009 02:11]

Van een developer dit klakkeloos zonder checks betaling-gateways aanspreekt zou ik niet teveel vertrouwen hebben in hoe de gegevens worden opgeslagen in de database :D
Het lijkt me vergelijkbaar met in de winkel stiekem een prijsstickertje omwisselen. Is zoiets strafbaar?
Het is beter te vergelijken met een slecht oplettende kassiere. Ze moet bijv 10 euro afrekenen, je geeft 10 cent en zij vindt het goed. Dan kun je mij niks meer verwijten. De ontvanger moet controleren of ie wel krijgt wat ie hebben wil.
Het in een automaat stoppen van een ijzeren schijfje in plaats van geld is ook strafbaar. Het is duidelijk dat een automaat het bedrag moet krijgen dat er op staat, ook al is het mogelijk om de automaat een ander stukje ijzer te laten accepteren.

Het was in dit geval ook gewoon duidelijk dat het de bedoeling was dat je de prijs moest betalen die er op de website stond.

[Reactie gewijzigd door SimonKroller op 16 oktober 2009 15:40]

Het in een automaat stoppen van een ijzeren schijfje in plaats van geld is ook strafbaar. Het is duidelijk dat een automaat het bedrag moet krijgen dat er op staat, ook al is het mogelijk om de automaat een ander stukje ijzer te laten accepteren.
en ineens zijn alle winkelwagen muntjes strafbaar gesteld :o
Ja. Het is weliswaar geen diefstal, maar wel oplichting. Ook dat is strafbaar.

[Reactie gewijzigd door Polaris op 16 oktober 2009 14:57]

Je zal maar net je huis + vrienden lekker getrakteerd hebben op een complete maaltijd van 800 euro en die nu terug moeten betalen :Y)

Nee ik hoop dat Just eat er veel energie in wil steken om alles terug te vorderen. Mooi leermoment voor de studenten.

Als er een stalletje met waren langs de weg staat gooi je ook niet alles in de kofferbak inc. de pot met geld om het 's avonds te nuttigen bij het haardvuur van de kapotgeslagen kraam.

Dat het kan wil niet zeggen dat je het ook moet doen.

(Is er al een topic met studenten die nu een beetje bezorgd zijn?) Popcorn :9~
Nee ik hoop dat Just eat er veel energie in wil steken om alles terug te vorderen. Mooi leermoment voor de studenten.
? Mooi leermoment voor Just-Eat lijkt me: transactiebeveiliging op orde voor je live gaat!
Als er een stalletje met waren langs de weg staat gooi je ook niet alles in de kofferbak inc. de pot met geld om het 's avonds te nuttigen bij het haardvuur van de kapotgeslagen kraam.
Dat is nogal anders. In dit geval is er een transactievoorstel gedaan door Just-Eat en heeft de gebruiker een tegenvoorstel gedaan. Just-Eat gaat accoord, dus lijkt me de zaak gesloten.
Lange procedure ... als ze zelf alle studenten gaan opzoeken en kosten terugvorderen wel natuurlijk.

Het is voor het interessanter om studenten gewoon eerst aan te spreken (direct), daarna klacht neerleggen tegen al degene die niet terugbetalen.

Die komen dan voor rechter: klachtjes voor diefstal, misschien hacking er nog bij, ... lekker strafbladje ...
lekker op een studentenkot.. 1 gozer besteld valse naam maar juiste adres..

zoek maar is uit wie van die gasten de pizza's echt besteld heeft.. en of het dan ook geen kennis ofzo van hem was?

(uiteraard wel de ideal etc.. )
Door dat bedrag terug te brengen tot een paar cent, konden de studenten via de betaalmethode iDeal een klein bedrag afrekenen.
Volgens mij is iDeal niet anoniem, maar zit dit gekoppeld aan een rekening. Dus het is zeker wel te achterhalen wie uiteindelijk betaald heeft voor het eten en dus verantwoordelijk is.

Jantje kan wel de hack hebben uitgevoerd, maar als Pietje dar dan uiteindelijk mee accoord gaat en dus de betaling aangaat is Pietje dus verantwoordelijk. Strakke actie dit, je bent heel eenvoudig te traceren en je pleegt een diefstal. Lekker handig.
Diefstal?

Er wordt een overeenkomst voorgesteld door de server, jij doet aanpassingen aan die overeenkomst & de andere partij gaat akkoord met die aanpassingen.
Lijkt me absoluut geen diefstal, jij betaalt immers ook nog voor de dienst.

Dat het extreem lomp is van Just Eat: volledig mee akkoord.
Dat het moreel gezien niet hetgene is wat een supereerlijk mens zou doen, volledig mee akkoord.
Maar of hier juridisch veel aan te doen valt? Er is namelijk een overeenkomst tot stand gekomen die door de andere partij aanvaard is en uitgevoerd is.

[Reactie gewijzigd door roeleboel op 16 oktober 2009 14:25]

geen diefstal, wel inbreuk op de wet computercriminaliteit... ondanks dat het een lek is welke bij les 1 van 'programmeren & software security' besproken wordt zo ongeveer.

maximale boete: €30.000, maximale celstraf: 18 maanden

overigens zal waarschijnlijk geen enkele abuser de maximale straf opgelegd krijgen, echter zullen ze absoluut wel jacht maken op de 'hacker' die het lek geopenbaard heeft... en deze zal dan wel weer de maximale straf krijgen waarschijnlijk
Waarom een inbreuk? Is surfen via html code dan strafbaar? Dit kan niet onder hacken vallen. Als een winkel de kassa richt naar de mensen ipv het eigen personeel en de ticketjes komen er verkeerd uit is dit de fout van de winkel.

Dat ze dit trouwens pas gemerkt hebben na zoveel tijd, bestellingen en geld laat me toch ook eerder vermoeden dat de "huis-administratie" ook niet op stabiele poten staat.
zo zou je hiet kunnen stellen denk alleen niet dat de rechter daar in zal trappen...
De andere partij gaat niet akkoord met de aanpassingen. Je krijgt een voorstel van Just Eat, en die willen dat je bij Dibs betaalt. Dat jij dan naar Dibs stapt en een ander bedrag noemt dan Just Eat voorstelde is toch echt oplichting. Als je over de prijs wilt onderhandelen dan had je het nieuwe voorstel terug naar Just Eat moeten sturen.
En toch kan ik u 100% garanderen dat ze dit in BelgiŽ aanzien als hacken.
De mensen van justitie zijn echt geen informatica kenners.
En zelfs al legt iemand van de Internet Crime Unit alles uit, die grijze zakken snappen het toch niet.
Heerlijk krom, let op:

Jij doet aanpassingen aan die overeenkomst

Lijkt me absouluut geen diefstal

Echt, dat mensen dit soort zaken recht proberen te breien... :(
[...]

Volgens mij is iDeal niet anoniem, maar zit dit gekoppeld aan een rekening. Dus het is zeker wel te achterhalen wie uiteindelijk betaald heeft voor het eten en dus verantwoordelijk is.
Oorspronkelijk was iDeal niet gekoppeld aan een bankrekening. Je moest geld over (laten) maken op een account, wat je vervolgens kon uitgeven. Zelf heb ik nog een paar euro staan op een account waarbij ik een typefout maakte bij het ingeven van mijn naam. ;)
Bij iDeal? :?
Dit is een uniform betaalsysteem opgezet door de gezamelijke banken.
Het was altijd al bedoeld voor het betalen met je bankrekening en werkt met ABN AMRO, Fortis, Friesland Bank, ING, Rabobank en SNS Bank.

Ben je niet in de war met PayPal :?
Die ene cent komt natuurlijk wel van een bepaalde bankrekening. Dus de juiste persoon traceren lijkt me helemaal niet zo moeilijk.
Het zou pas leuk zijn geweest dat die pagina online gegooit werd met een stukje tekst erbij als 'nu een pizza voor slechts 5cent, bestel nu'. Op die manier hadden wat meer mensen er profijt van kunnen maken!
Dat laatste denk ik ook. Dit is regelrecht prutswerk. Als je iets met bedragen doet, dan houdt je de gegevens waaruit het bedrag blijkt altijd op de server. Dat ga je niet via de client nog een keer naar jezelf sturen.
Natuurlijk is het prutswerk, maar ik zou niet graag iemand een baan met verantwoordelijkheid geven die de gelegenheid tot diefstal uitbuit.
Met andere woorden, de studenten zijn ethisch fout (waarschijnlijk ook juridisch), ongeacht de kwaliteit van programmeer werk van de benadeelde.

Dit is geen geval van "ethical hacking" maar van malversatie met tot doel zelfverrijking.
Inderdaad ik kan ook alleen maar denken wat een stelletje sukkels bij Just Eat. Dat je dit eigenlijk niet al veel eerder door hebt. Ik neem tenminste aan dat je toch wel mag weten wat er met de geldstromen gebeuren. Rare mensen noem ik het. Leuk trouwens voor de studenten, dat die mooi zo bijna gratis pizza kunnen eten. Ik vind dat ze groot gelijk hebben.

Als iemand geld aan een touwtje op straat legt raap je het toch ook op en knipt het touwtje eraf. Dan zeg je toch ook eigen schuld dikke buld. Dat vind ik hier nou ook, moet je maar niet zon heel erg grote bug in je site laten zitten. Dan maar op de erge manier leren. Desalniettemin vind ik dat je als nette burger wel je geld mag teruggeven aan dit bedrijf. Of geef ze iniedergeval korting, als ze zelf ermee komen dat zij het waren.
Als webdeveloper zijnde vraag ik me af welke idioot dit heeft bedacht, want wat die studenten hier doen is nauwelijks hacken te noemen.
Bij een ander provider voor webbetalingen waar wij mee werken zijn er geheime strings die samen met de input gegevens worden gehashed (SHA1) en die hash moet worden meegestuurd met de request. Aan de andere kant worden de verkregen gegevens ook gehashed met de geheime string die bij hun staat en vergeleken met de hash de werd meegestuurd.

Deze "hack" is dus puur slecht geprogrammeerd.

[Reactie gewijzigd door Zamalan op 16 oktober 2009 13:53]

Maar die 'geheime string' moet bekend zijn bij de browser, en ook de methode maarmee deze versleuteld wordt. gewoon een controlegetal meesturen is leuk om transmissiefouten te detecteren, maar als beveiliging onvoldoende. (welke provider is het? ik lust wel een gratis pizza :9 )
Regel 1 bij internet-programmeren: het internet is untrusted, vertrouw nooit informatie die je van de client krijgt. Dus altijd filteren voordat je het gaat verwerken en altijd controleren wat je verwerkt. Als je van de client door krijgt wat hij besteld heeft en wat het totaalbedrag is, dan kun je dat makkelijk controleren. Doe je dat niet, dan ben je gewoon dom bezig.

Het is alsof de cassiere bij de supermarkt alleen maar noteert wat ik in mijn winkelwagentje heb en mij vervolgens vraagt wat het totaalbedrag is (en het dan klakkeloos accepteert als ik zeg dat het 1 cent is)
geheime string bekend bij browser? die spreek je toch gewoon af met je payment provider? bijvoorbeeld door middel van certificaten?
Inderdaad je moet gewoon geen gevoelige info via het url meesturen, is gewoon basis kennis dat je alleen ongevoelige info meezenden, alleen dingen zoals id, rest server side houden. En doe je het toch dan uiteraard controleren wat je binnen zou verwachten aan bedrag als er een pizza shoarma word besteld, en netjes foutmelding geven als het niet klopt.

Als je het zo programmeert is het vragen om gehackt te worden, wel bekende _GET en _POST lek die je niet zomaar ongecontroleerd mag laten, elke wannabie hacker weet dit te misbruiken.
Encryptie is geen zaligmakende saus waarmee alles opeens veilig wordt. Het gaat om de procedure. Die moet waterdicht zijn!
Maar het is wel frauderen, je betaalt willens en wetens een lager bedrag dan is bedoeld door de verkopende partij, terwijl je weet dat dit nooit de bedoeling geweest kan zijn.
Is nog maar de vraag.
Je past alleen een waarde van een veld aan, in je eigen webbrowser.
Dat de andere kant dit als het totaalbedrag behandeld en totaal geen validatie doet, is hun fout.
Jij kan in de winkel ook de bon aanpassen en maar 1 cent betalen, maar of ze dat aan de kassa accepteren ;)
Deze doet/deed dat (helaas) wel.

Ik denk dat er echt een rechter aan te pas moet komen, wil hier uitsluitsel over worden gegeven. Maar of de studenten het tot daar aan toe willen laten komen, en de mogelijkheid om die te verliezen :?
Is nog maar de vraag.
Je past alleen een waarde van een veld aan, in je eigen webbrowser.
Dat de andere kant dit als het totaalbedrag behandeld en totaal geen validatie doet, is hun fout.
Net zoiets als met te lage prijzen in een webshop: de rechter mag er gerust vanuit gaan dat diegene die 5ct afrekent in plaats van 5 euro, wist wat hij of zij deed. Het is immers zo duidelijk dat je geen expert hoeft te zijn om te zien dat er iets niet klopt.

Als iemand midden op straat in elkaar klapt met een hartaanval hoef je ook geen dokter te zijn om een ambulance te bellen toch?

[Reactie gewijzigd door ByeSell op 16 oktober 2009 14:27]

Als iemand midden op straat in elkaar klapt met een hartaanval hoef je ook geen dokter te zijn om een ambulance te bellen toch? Als je dan weigert te bellen omdat je beltegoed bijna op is, kan het je aangerekent worden. En terecht.
helemaal aangezien 112 nog steeds gratis is :+
Tuurlijk, het is dan ook zeker fraude, maar hacken kun je het niet noemen. Ik denk niet dat sandr het voor de studenten opneemt, maar eerder bedoelt dat dit zů slecht gedaan is dat het omzeilen van de 'beveiliging' - die er dus niet is - niet eens hacken te noemen valt ;)
Mee eens. Elke amateur hacker heeft wel eens post-waardes aangepast en elke amateur ontwikkeling weet dat je niets van een client moet vertrouwens. Enorm slecht dit.
Met iDeal bestaan er minimaal twee simpele en veilige controle's om dit soort dingen tegen te gaan. Zo kan de iDeal server op de achtergrond een request naar de website doen om te verifiŽren dat de gestuurde data juist is. Dubbele controle gebeurd met een hash die aan beide kanten gelijk moet zijn waarin onder andere het bedrag is opgebouwd.

Simpel gevalletje eigen schuld, dikke bult.
Precies en volgens mij heb je in dit geval, ook al zijn het een paar centen, een volledig legale transactie doorlopen. Er is niets gehacked, de transacties is goedgekeurd en ook nog eens aan beide kanten. Dat het obviously niet goed te praten is ok, maar alles terugvragen vind ik in dit geval ook weer ver gaan.
hoezo is het 'alles terugvragen' te ver gaan, de betreffende student heeft willens en wetens deze actie gedaan, dus is die ook wel degelijk voor de volle 100% aansprakelijk, ze mogen juist blij zijn dat ze niet vervolgt worden voor fraude..
Je kunt wel makkelijk fraude roepen, maar volgens mij is er niet echt jurisprudentie over het aanpassen van een (weliswaar hidden) inputveld in een formulier. Dit is in ieder geval zeker geen hacking.

Als je de POST request zelf bekijkt dan kun je niet eens meer zien dat de input Łberhaupt hidden was. Daarin staat allen iets als:
item=PizzaMargharita&quantity=8&total-amount=0.05
Verder kun je je afvragen of je verplicht bent om een browser te gebruiken die een hidden input veld ook echt niet toont. Wat als ik een funky browser gebruik die gewoon een standaard input neerzet?

Wellicht kun je het vergelijken met een acceptgiro aanpassen waar een bedrag op voorgedrukt staat. Als je betaalt met internet bankieren en je typed in plaats van 50,00 euro 5,00 euro in.. en de winkel levert vervolgens het produkt.. is dat dan fraude van jouw kant? Ik denk dat dat niet zomaar het geval is.
Het probleem zit hem niet in het betaalproces zelf, maar in het winkelwagentje. Ik heb er alle vertrouwen in dat de betaling van dat lage bedrag via internetbankieren perfect veilig is verlopen. Het punt is juist dat het af te rekenen bedrag in het winkelwagentje door de gebruiker aangeleverd wordt en dus aangepast kan worden. Als vanuit datzelfde winkelwagentje een iDeal-betaling was gestart, dan was die dus ook gewoon netjes afgerond.

Sterker nog, gezien het om Nederlandse bedrijven en consumenten ging, is er grote kans dat hier ook iDeal is gebruikt. Alle checks van de betaalprocedure kunnen niet voorkomen dat er uberhaupt met een "verkeerd" bedrag wordt gestart; daarvoor moet het winkelwagentje aangepast worden om prijzen alleen lokaal uit de database te hengelen, en door de gebruiker enkel de product-ID's en aantallen te laten aanleveren.
Nee.

Wat er gebeurt is dat je vanaf je site de gebruiker doorstuurt naar iDeal. Daarvoor worden de betaalgegevens meegestuurd. Dit is voor gebruikersgemak en mooie integratie met de webwinkel. Zie het als een vooringevulde digitale acceptgiro. Zoals al eerder gezegd zijn er diverse mechanismen om te controleren dat ook daadwerkelijk het afgesproken bedrag is betaald. Dit heeft men gewoon nagelaten.

Dat het bedrag gewoon in de request staat is an sich niets mis mee. Je kunt op een acceptgiro ook het bedrag aanpassen. Maar dat men niet controleert of het juiste bedrag is afgerekend, dat is pas kwalijk.
Simpel gevalletje eigen schuld, dikke bult.
Dit is net als bij heling: zodra een koper een gloednieuwe fiets krijgt aangeboden voor 2 tientjes, moet je aandringen op een bon of iets dergelijks.

De bon die de website liet zien was uiteraard wel correct (!). De website is immers verplicht om een offerte dan wel factuur met het volledige bedrag aan te bieden aan de koper anders is de transactie dus niet legaal.

Er zijn genoeg consumentenorganisaties die de pizzaboer zouden aanvallen als er geen correcte info en/ of factuur wordt gegeven.

En toch loopt de klant de deur uit met enkele centen?

De rechter zal oordelen dat de koper had moeten weten dat er iets niet klopt. De zaak van de studenten is heel zwak IMO... als ik hun was zou ik het er in elk geval niet op aan laten komen en alsnog onderhandelen met de pizzaboer. Een rechtzaak zou niet zo fraai uitpakken IMO en hun gegevens zijn bekend.

[Reactie gewijzigd door ByeSell op 16 oktober 2009 15:16]

Het bedrijf in kwestie zou de studenten dankbaar moeten zijn dat ze dit lek gevonden hebben. Dat er ook gebruik van gemaakt is vind ik niet zo gek.
De studenten wisten natuurlijk wel dat dit lek boven water zou komen. Lijkt me ook logisch.

Voor de rest is het eenvoudig na te gaan bij welke rekening/naam de 1 cent afschrijvingen horen. Naheffen kan dus ook.
Aangezien er voor 30000 euro aan eten is besteld, denk ik niet dat de studenten er bij stil stonden dat het na te trekken was...
Ik vermoed dat je snel aan 30000 euro zit als er een slimme student uitlegt hoe je dit kan doen... dit soort nieuws gaat als een lopend vuurtje
Een echt slimme student (in een nuchtere bui) zal begrijpen dat dit trucje geen stand houdt en dat hij via bankgegevens, tijstip, afleveradres etc. achterhaald kan worden.

Dat afleveradres is ook het zwakke punt van CMG's instantbedrijfje hierboven. Iedere 20 minuten een mega-order op hetzelfde afleveradres blijft niet onopgemerkt hoor!
Hij laat ze natuurlijk rechtstreeks bij de klant afleveren he. En hij gebruikt de betaling van de klant.

Hij kan echter wel gevonden worden door het IP adres van zijn server die de bestellingen plaatst bij de server van Just Eat.
Als je slim was zette je voor je eigen groep een pagina op waar je een paar basis pizza's met '25%' korting kan bestellen. Eigen iDeal implementatie doen en cash vangen, dan 1x per 20 minuten de bestellingen bij JustEat plaatsen en af laten leveren :)
Ligt er natuurlijk maar net aan hoeveel studenten hiervan gebruik gemaakt hebben. Als dit "publiekelijk" op een forum van een studentenvereniging terecht komt dan kan dat aantal natuurlijk erg snel oplopen. Zeker met jaarclubavonden wordt daar immers zo voor 50 euro en meer besteld.
Zeg dat er gemiddeld voor 30 euro besteld is dan hoeven er maar 1000 bestellingen gepleegd te zijn op deze manier. Ik verwacht dat het gemiddelde echter hoger ligt dan 30 euro, dus dan kom je op een aantal wat voor grotere studentenverenigingen zeer makkelijk te halen is. Zeker over deze periode.
Ik denk dat je als bedrijf een stuk dankbaarder bent als iemand die zo'n fout vindt deze dan bij het bedrijf meldt, en niet tegen zichzelf zegt "lol €0,01 pizza! dit moet ik ff naar een tiental andere studenten mailen die ook wel voor next-to-nothing willen schaften!" :+

Al kan ik me vanuit iig Amerikaanse berichtgeving wel voorstellen dat mensen dat niet doen, want je hebt ook zo een brief van hun advocaten aan de kont hangen met als eis dat je je mond houdt. Ook niet echt dankbaar. |:(
Ik heb ooit een keer een fout in een administratiepaneel van een webhoster gemeldt (ik kon zo de DNS gegevens van Šl hun klanten aanpassen) en heb daarvoor een paar gratis jaarabonnementjes gekregen :) Denk dus dat het in Nederland niet zo storm loopt met die advocatenbrieven.
Netjes, en zo hoort het ook, het aangeven en dat je er iets voor terug hebt gekregen.
Het bedrijf in kwestie zou de studenten dankbaar moeten zijn dat ze dit lek gevonden hebben.
Ja, anders zouden mensen er misschien wel misbruik van maken :P
wat studeren die studenten?
het zal vast wel niet ethiek zijn
haha Het zijn gewoon mensen en laten die nu net allemaal weleens de grenzen een beetje opzoeken.
Eens... maar je hebt grenzen en je hebt grenzen. We hebben allemaal weleens de grens van het toelaatbare opgezocht (ik doe dat in mijn werk regelmatig om zaken aan de kaak te kunnen stellen) en daar is ook niets mis mee, zolang je dat maar beseft. Maar in dit geval is de grens vrij grof overschreden en dan heb je het niet meer over 'de grenzen opzoeken' maar over ongewenst gedrag, en dat is mijns inziens ontoelaatbaar.
Er zaten studenten uit Breukelen bij. Juist daar zou je niet verwachten dat studenten voor een gratis pizza het risico lopen om hun carriŤre te beschadigen.
En wat zegt dat over de betreffende universiteit? Die toch graag Business School van internationale allure wil zijn?

Het lijkt mij dat je als universiteit met status dit soort studenten liever kwijt dan rijk bent.

Buitengewoon kwalijke zaak.

Ik denk dat genoeg vaders haastig de portemonnee trekken en de schade aan Just-Eat vergoeden, en liefst een aardig bedrag extra erbij doen voor een of ander "goed doel" of de personeelsvereniging

[Reactie gewijzigd door SimonKroller op 18 oktober 2009 08:57]

In het ergste geval zijn dit de mensen die straks ons land gaan regeren. Dan wil je daar toch op kunnen vertrouwen lijkt me.
Ik kan me ook met de beste wil van de wereld niet voorstellen dat er mensen zijn die dit gedrag nog stoer vinden en goed praten. Iedereen weet wat goed en fout is, niet iedereen handelt ernaar, maar er is geen enkel excuus te bedenken om het handelen van deze studenten goed te praten.

[Reactie gewijzigd door regmaster op 17 oktober 2009 09:18]

Toen ik dit de eerste keer las, heb ik het gelijk nog een keer gelezen..

Diegene die daar op de administratie werkt en na 10 pizza's nog steeds niet in de gaten heeft dat die dingen voor een paar cent verwerkt worden, moet zelf die pizza's gaan bezorgen in de regen (niks fouts tegenover de bezorgers btw).. Natuurlijk besparen ze geld door de verwerking automatisch te laten verlopen, maar ze krijgen toch ook overzichten met daarop het aantal bestelde pizza's en de gemiddelde verkoopprijs of niet?
Het heeft dus een paar MAANDEN gekost, om dit te corrigeren? Ik zou eerder het bedrag terug gaan vragen bij die Denen daarboven. Je snapt toch wel dat elke pizza onder de euro noooooit de deur uit mag gaan.
Tja, de studenten zijn slim geweest en als ze al niet genoeg gekort worden (los van het feit of het nu strafbaar is) zou ik ze die pizza's wel gunnen.

[Reactie gewijzigd door Deurges op 16 oktober 2009 17:41]

Nou, nee..
het restaurant merkt niets van deze 'hack', zij krijgen ook de volle mep uitgekeerd van Just-Eat. Aangezien Just-Eat de betalingsprovider is in dit geval.

Dat Just-Eat hier zo laat achter is gekomen is wel erg, als bedrijf die dagelijks voor ruim 80.000 euro aan bestellingen verwerkt zou je toch dagelijks je bank moeten checken (online bankieren?)
Noem maar slim,
Is het slim om een slot open te krijgen en dan iets te stelen? ( hoe eenvoudig dan ook)
Is het slim iets wat niet mag willens en wetens toch te doen?
En ja hmm met ideal accounts waar de gegevens bankrekening nr en naam ook nog eens bekend worden bij deze vorm van fraude?

Het is erger wat waarden en normen besef betreft , dan de fout op de website zelf . ( maakt niet uit of die dom is in dit soort gevallen)

Heeft dus niet zoveel met slim te maken mogelijk meer dom maar OK.

Buiten dat is dus het waarden en normen besef ook uit deze post weer eens af te lezen ;)
Als die studenten aannemelijk kunnen maken dat 5 cent normaal is voor een pizza dan is het geen misdrijf. Maar iets zegt mij dat dat niet gaat lukken. :+

Opvallend overigens dat Nijenrode op de lijst staat, daar zitten toch juist de mensen die van erg veel geld gebruik kunnen maken.

Maar goed: dit toont maar weer eens aan hoe lastig het is om bepaalde zaken goed te testen, alhoewel dit wel een heel simpel hack was. Ik heb het vermoeden dat deze methode nooit goed is getest, anders zou het al lang boven water zijn gekomen. :X
Volgens mij is het ook geen misdrijf, maar gewoon een achterstallige rekening.

Je bent immers akkoord gegaan met het bestellen van een pizza-of-wat-dan-ook voor zeg eens 10 euro. Daarna heb je de techniek voor de gek gehouden door bijvoorbeeld 5 cent te betalen. De techniek voor de gek houden, lijkt wel leuk, maar als iemand er naderhand achter komt, dien je je alsnog aan de aankoopsovereenkomst te houden, die je verplicht tot betaling van 10 euro.

Op dat moment staat er dus nog een rekening open voor 9,95. Je kunt dus gewoon een aanmaning ontvangen, en eventueel daarna de deurwaarder op bezoek krijgen.

Hacken is dit eveneens niet, omdat je jezelf nergens toegang toe hebt verschaft.
Fraude is weldegelijk een misdrijf, en deze methode is dus gewoon fraude plegen. Uiteindelijk zullen ze dus toch de hele pizza rekening moeten betalen, doen ze dit niet dan zullen ze dus mogelik voor fraude worden vervolgd..
:) Om de een of andere reden zijn mensen met veel geld juist eerder geneigd zoveel mogelijk slaatjes ergens uit te slaan. Misschien zijn ze o.a. daardoor juist rijk.

30.000 Euro is wel erg veel, dus daar mogen ze best wat van terugstorten, maar het hele bedrag vind ik discutabel... dit lek is simpelweg schandalig voor iets gevoeligs als transacties.

[Reactie gewijzigd door vgroenewold op 16 oktober 2009 13:41]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True