Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 112 reacties

In totaal zijn vierhonderd iTunes-accounts slachtoffer geworden van frauduleuze aankopen in de App Store. Apple heeft de applicaties van de verantwoordelijke ontwikkelaar verwijderd. Er zouden geen persoonlijke gegevens zijn buitgemaakt.

Apple heeft aan nieuwssite Engadget gemeld dat de eigenaars van de vierhonderd getroffen iTunes-accounts er verstandig aan doen om hun wachtwoord te veranderen. Daarnaast adviseert de iPhone-maker om de gebruikte creditcard te laten blokkeren en ongewilde transacties te annuleren.

Met de vierhonderd buitgemaakte iTunes-accounts werden applicaties gekocht van ontwikkelaar Thuat Nguyen. Waarschijnlijk is hij verantwoordelijk voor het hacken van de iTunes-accounts. Eerder werd al bekend dat sommige gebruikers honderden dollars aan App Store-aankopen kwijt waren. Het geld dat met de verkoop van Nguyens apps werd verkregen, werd automatisch naar onbekende bankrekeningen doorgesluisd.

Apple heeft aan Fox News-medewerker Clayton Morris verklaard dat er niet op de  iTunes-servers is ingebroken. Waarschijnlijk wordt in de toekomst de beveiliging van de App Store aangescherpt. Apple gaat vaker vragen om de ccv-code, die op de gebruikte creditcard staat. Hierdoor kan met meer zekerheid worden vastgesteld dat degene die een aankoop in de App Store doet ook werkelijk in het bezit is van de gebruikte creditcard.

Moderatie-faq Wijzig weergave

Reacties (112)

Daarnaast adviseert de iPhone-maker om de gebruikte creditcard te laten blokkeren en ongewilde transacties te annuleren.

Uit wat ik hier lees, gaat Apple zelf niet de bedragen annuleren, maar moeten gedupeerden dit zelf via hun bank doen? Een beetje fatsoen zou vereisen dat Apple dit op zich neemt en niet doorschuift naar zijn klanten.
Dat heeft te maken dat een betwistingsprocedure via de creditcard maatschappij die nu juist Apple verplicht naar een individueel onderzoek. Terug betalen is leuk voor de klanten maar draagt niet bij aan een hoger doel namelijk bestrijding. De betwistingsprocedure verplicht de verkopende partij alle gegevens te overleggen van de transactie. De creditcard maatschappij keert gewoon uit bij fraude en gaat dit verhalen bij Apple. Als apple dan moeilijk gaat doen trekt de creditcard maatschappij de overeenkomst met apple in.

Ik heb dit persoonlijk meegemaakt 4 transacties 100 euro afgeschreven. Gelukkig 5 min na de 1ste transctie bezwaar aangetekend bij Apple:

bla bla :

Dear Han,

Jesse here from iTunes again. I'm glad that you did take the time to contact me to get this issue resolved as that is what I am here for.

I thank you for getting back to me with this email.

From what I understand this is what happens. Your bank files something called a "Chargeback", which is a request for the money back, they say it is cause these purchases are being claimed unauthorized transactions.

We will investigate these charges and when they are deemed unauthorized we send back the money to the bank.

From there I am not sure about how the bank deals with this on identity fraud or anything but I also believes this differs country to country and it is not something I really have any knowledge of.

Into your questions now.

My only concern about setting up a new account is possible confusion in the future when you are trying to update your apps. If you try to update your apps with your new account, it won't allow you and you may accidentally purchase the app again on the new account. All you need to do to prevent this is make sure you are signed in with the account the app purchase was made on.

Your account should be just as secure as a new one if you make 2 changes to the account. Change the account name and make sure you are using a new and stronger password. Myself I use a password that is 9 digits long with a mixture of letters, numbers and symbols and capitalizations.

Unfortunately all purchases are account based and can't be transferred. There is a small bit of information stored on each purchase which allows it to know what account purchased it. Unfortunately cause of this, we can't move purchases from one account to another.

When it comes to 1 click purchasing, the only other option available is the wish list. Instead of clicking the buy button there is an arrow next to it, one of the options is called "Add to Wish list". You can access your wish list easily enough at the bottom of the iTunes Store page underneath "Manage".

If you would like to make a suggestion on adding a different feature I am going to include a link on our feedback. Apple does review these feedbacks.

Apple recognizes that no one is better qualified to provide feedback about iTunes than the people who use it.

I encourage you to use the iTunes Feedback page to submit your comments:

[Reactie gewijzigd door toet-toet op 7 juli 2010 22:46]

Dat lijkt me onmogelijk, Apple kan tenslotte niet voor jou bepalen wat een legitieme aankoop was en wat door onrechtmatig gebruik aangekocht is...in veel gevallen waar accounts zijn gestolen kan de rechtmatige eigenaar de account ook nog gebruiken zodat de account zo lang mogelijk actief blijft...
Denk een beetje na aub. Apple heeft helemaal geen recht die aankoop te annuleren. Alleen je bank kan dit doen.

Als er verder inderdaad fraude is, wordt dit betaalt door Apple, omdat de gedupeerde klanten betaalt worden door de bank die op haar beurt het geld bij Apple gaat opeisen.
Ik ben helemaal voor apple bashen maar dit is (als wat ze beweren waar is) gewoon niet apple's schuld. De wachtwoorden zijn buiten apple om (via phishing of keyloggers oid) achterhaald. En het geld is ook niet bij apple maar bij de maker van die applicaties.
Het kan toch niet zo zijn dat apple geld verliest omdat een van hun klanten zijn accountgegevens laat slingeren?
Ik zeg toch ook nergens dat het Apples fout is. Maar als ze nu ietwat goed uit deze situatie willen komen, zouden ze het beter zelf afhandelen. Wat is nu, pakweg 30k voor een bedrijf als Apple.

Daarnaast, zo ver ik weet staat Visa ook garant voor al je aankopen, zelfs al ben jij "slordig" geweest.
De ccv-code: waterdichte beveiliging.
Nee, maar in dit geval zijn de itunes username/password wschlk gestolen en helemaal geen CC gegevens.

Omdat er automatic purchasing kan gebeuren zonder enige bevestiging van het daarbij gebruikte betalingsmiddel.

Dat los je door het vragen van de ccv al wel op aangezien ze er in dit geval niet over beschikten.
Kom je hier niet snel achter? Ik weet niet hoe het bij Apple gaat maar je krijgt in de Android market meteen een mail met wat je hebt besteld in de store en dan kan je dat weer binnen 24u terug geven zonder dat je betaald hebt. Op die manier is het toch vrij moeilijk om er slachtoffer van te worden.

[Reactie gewijzigd door teek2 op 7 juli 2010 13:34]

In de App Store van Apple kun je niets teruggeven: gekocht is gekocht.
Da's niet waar! Als een App niet voldoet, mag je het 'terug' geven.
Ik heb vorig jaar geld terug gehad omdat Navigon niet naar behoren werkte op mijn iPhone. Heb daarna TomTom gekocht, wat weer wel werkte.

Dus het kan, maar niet zomaar....
Je hebt sowieso de koop op afstand wetgeving...
Die niet werkt bij een bedrijf in Amerika....
Volgens mij wel als ze zaken doen in Nederland. Als je hier je producten aanbied kun je je niet beroepen op buitenlandse wetgeving maar zul je moeten voldoen aan lokale wetgeving. Zou een goede portie absurd zijn omdat ieder bedrijf zich dan zou vestigen in het land waar de minste consumentenbescherming in de wetgeving is opgenomen.
Die niet werkt bij een bedrijf in Amerika....
Als je bij Apple in de Nederlandse iTunes store iets koopt, is het EU recht van toepassing, je krijgt de nota namelijk van:

iTunes SARL
8 rue Heinrich Heine
L-1720 Luxembourg

Dus, dat werkt uitstekend.
Neen hoor, er zijn manieren. Oa via customer service bij Apple
CCV is niet echt een beveiliging te noemen als het aankomt op ontvreemde CC gegevens. Vooralsnog weten ze (we) nog niet *hoe* de gegevens precies bemachtigd zijn toch?

http://paste-it.net/public/re9fad2/

Commando in google:

visa site:paste-it.net

CCV party....

[Reactie gewijzigd door HotDoggie op 7 juli 2010 17:53]

Ik snapte hem ook al niet. de CVC code moet ik in mijn itunes account gegevens opslaan. Als de accounts dan gehacket worden, heeft een hacker dus nog meer gegevens van mijn creditcard dan ik wellicht wil.

Als ze de CVC code zouden hanteren als een pin-code dan zou dat imho veel meer zekerheid opleveren.
Ik snapte hem ook al niet. de CVC code moet ik in mijn itunes account gegevens opslaan. Als de accounts dan gehacket worden, heeft een hacker dus nog meer gegevens van mijn creditcard dan ik wellicht wil.
In tegendeel. Het opslaan van de CVC/CVV2 is door de creditcardmaatschappijen verboden.
Als ze de CVC code zouden hanteren als een pin-code dan zou dat imho veel meer zekerheid opleveren.
Een drie (of vier, bij AmEx) cijferige code veiliger dan een wachtwoord van arbitraire lengte? Dacht 't niet.
waterdichte beveiliging bestaat niet.....
Waterdicht wel maar niet tot op alle diepten...
Als er niet is ingebroken op de servers, hoe komen ze dan aan de gegevens van die 400 accounts?
Wilde gok: die Nguyen schrijft een gratis app die mensen wel willen proberen, vraagt in die app naar username/password en stuurt die door naar zijn eigen server? En daarmee gaat hij vervolgens zelf inloggen en zijn eigen apps kopen. Sneaky, maar niet slim.
Dat zal niet het geval zijn, omdat als een applicatie naar de iTunes gegevens vraagt hij waarschijnlijk niet door de 'selectie-procedure' zou komen, en dus niet in de app-store zou verschijnen.

Waarschijnlijker is het dat hij phising methodes heeft gebruikt als bijvoorbeeld websites waar ze 'na invullen' een gratis applicatie oid kunnen downloaden. En het vanaf de betreffende site naar zijn eigen servers doorstuurt.
Zoals in een eerdere reactie al aangegeven, door middel van phishing, social engineering, man-in-the-Middle aanvallen, etc. Beetje kortzichtig om te stellen dat de servers de enige plek zijn waar de gegevens beschikbaar zijn, in 90% van alle gevallen waar problemen zijn met accounts zijn het de gebruikers die zo dom zijn geweest om op de verkeerde plek hun gegevens in te geven :P
Als er was ingebroken op de servers, hoe zouden ze dan komen een miezerige 400 accts ipv een paar miljoen?
Apple gaat vaker vragen om de ccv-code, die op de gebruikte creditcard staat. Hierdoor kan met meer zekerheid worden vastgesteld dat degene die een aankoop in de App Store doet ook werkelijk in het bezit is van de gebruikte creditcard.
Nonsens, creditcard gegevens worden gewoon inclusief ccv-code gestolen en verhandeld. Als verkoper vaak genoeg slachtoffer geworden van misbruikte creditcards inclusief ccv codes. En creditcardmaatschappijen vinden dat ook, want ook al is de juiste ccv-code ingevoerd bij aankoop, als verkoper trek je alsnog aan het kortste eind bij chargebacks, terecht of niet.
Er word gesteld dat er met meer zekerheid kan worden vastgesteld of het gaat om de rechtmatige eigenaar, en dat klopt ook, het is een stuk makkelijker om de gewone code te verkrijgen dan de gewone code EN de veiligheidscode. Natuurlijk is de combinatie van de twee nog steeds geen garantie.

Ik denk dat het idee van Visa zo slecht nog niet is, je creditcard die tegelijkertijd dienst doet als 'token generator'...dan moet je namelijk ook al het juiste algoritme en de juiste variabelen bemachtigen om tot de juiste token code te komen, wat dus al een stuk ingewikkelder is.
Ik denk dat het net een ander niveau hack is. Deze lijkt te zijn gedaan met een username/password combinatie, door deze te verzwaren met een ccv wordt hij net iets moeilijker. En wordt het voor de echte klanten net weer even iets minder makkelijk. Als ik nu een app via mijn iPhone koop, moet ik sowieso al mijn itms wachtwoord invoeren. Dan zou ik ook nog de ccv van de bijbehorende CC moeten opzoeken. Lastig, want welke CC had ik ook al weer gebruikt...

Als die Nguyen trouwens complete CC gegevens zou hebben gehad, zou het wel erg dom zijn om je eigen applicaties ermee te gaan kopen. Dat valt nogal op.
Met de vierhonderd buitgemaakte iTunes-accounts werden applicaties gekocht van ontwikkelaar Thuat Nguyen.Waarschijnlijk is hij verantwoordelijk voor het hacken van de iTunes-accounts.
Zou het echt? Een hacker die wel de brains heeft om 400 iTunes accounts te hacken, maar vervolgens zó dom is om applicaties van zichzelf aan te schaffen?
Applicaties van iemand anders aanschaffen verdient hij niks mee he?
En die developer account zal wel niet op zijn eigen naam staan.
Als je 400 naiefe mensen vindt om hun wachtwoord en gebruikersnaam van iTunes op een andere site/programma in te vullen, hoef je nog echt geen brains te hebben. Sterker nog, dat lijkt me 'scriptkiddie' werk.

Daarnaast koopt hij zijn eigen applicatie om er zo wat geld aan te verdienen he.

[Reactie gewijzigd door ZpAz op 7 juli 2010 13:24]

Wat had hij er anders mee moeten doen? Apps van een ander kopen levert hem niks op.
Tuurlijk, hij moet toch geld verdienen eraan? Dan ga je niet andermans applicatie kopen natuurlijk
Kan iemand mij uitleggen hoe dat nu zit met Credit Card beveiliging? Als ik het goed begrijp werkt het zo:

Minimaal noodzakelijk voor een transactie is het credit card nummer + naam + verloop datum.

Optioneel is:
- De CVV code (gewoon een extra nummertje die op de cc staat. Waarom dat veiliger zou zijn.. geen idee?);
- De handtekening
- De Pincode
- Securecode link.

Criminelen hebben voldoende aan het nummer, naam en de verloopdatum om geld af te schrijven. Waarom zijn die alternatieve authenticatie methoden er dan überhaupt? What the fuck is de meerwaarde?

Nadelen heeft het sowieso. Mijn Pin- en securecode weet ik niet meer en mijn CVV code is er vanaf gesleten. Ik kan dus alleen dokken als niet om die optionele gegevens wordt gevraagd.

[Reactie gewijzigd door gast op 7 juli 2010 13:30]

Kan iemand mij uitleggen hoe dat nu zit met Credit Card beveiliging? Als ik het goed begrijp werkt het zo:

Minimaal noodzakelijk voor een transactie is het credit card nummer + naam + verloop datum.
Wat er nodig is hangt af van wat de regels van de payment gateway zijn of hoe deze is ingesteld. De meeste gateways kunnen zo worden ingesteld dat alleen een naam, verloopdatum en nummer nodig is. CVV en adres zijn dan optioneel.

Een heel erg fraude-gevoelig systeem dus en de enige echte preventie in de US bijv. zijn de hoge straffen die er op credit card fraude staan. Een medewerker van een site kan zomaar gegevens doorverkopen en dit gebeurt dus ook met grote regelmaat. Je bent daarom het beste af met een kaart die gelinkt is aan een account met een laag saldo zodat schade meevalt.

In 2008 verloren merchants alleen al in de US 4 miljard dollar door fraude. De bedragen van overige credit card fraude waar de banken voor verantwoordelijk zijn, liggen vele malen hoger.
Minimaal noodzakelijk voor een CC transactie is CreditCardnumber en verval datum. Overigens werkt het iets anders als je een recurring payment doet (voor bijvoorbeeld maandelijkse abonnementsdiensten) want dan wordt vaak niet eens je vervaldatum (exp.date) gecontroleerd. Dit doen ze dan niet omdat als je een nieuwe kaart hebt gehad je autorisatie afgewezen wordt ivm met incorrect vervaldatum.

CVV2 (visa) en CVC2 (mastercard) code is steeds meer gevraagd op websites, dit is iets veiliger omdat je dan minimaal de achterkant van de Creditcard moet hebben gezien om een autorisatie te doen.

Securecode is de volgende stap, dan wordt er via een third party een controle gedaan of de Kaarthouder zegt wie hij is, en ook de Merchant wordt gecontroleerd. Je moet dan een Password invullen en dan wordt je autorisatie verwerkt.

Pincode wordt niet op internet gebruikt tenzij er een CC is die CAP/DPA ondersteund (met een Random reader bijv) maar naar mijn weten wordt dit nog niet door nederlandse issuers ondersteund.

Handtekening was voornamelijk vroeger, op internet heb je daar sowieso niet zo heel veel aan. Maar bij een normale point-of-sale, en Cardholder Present transacties wordt er nog wel eens om gevraagd.. maar ja.. het controleren van je Handtekening op zo een klein wit strookje is nogal uh.. omslachtig.

Overigens wordt de kaarthouder altijd schadeloos gesteld.. (behalve bij Securecode en bij Pintransacties).. maar als een crimineel random je kaartnummer en vervaldatum gebruikt om transacties te doen krijg je ALTIJD je geld terug.
Het risico ligt totaal bij de CC maatschappijen en daar doen ze ook helemaal niet moelijk over.

Vooral bij de verkoop van niet fysieke spullen (software, muziek, pornowebsites) wordt er ENORM veel gechargebacked, dit is allemaal geautomatiseerd en wordt nooit afgewezen.
Dat is slim, iets verkopen op Itunes en dan het zelf opkopen met andermans kredietkaart. Itunes incasseert alle verliezen want hun krijgen de chargeback. En wat Itunes wilt doen is gewoon meer om een cvv code vragen. Wat natuurlijk toch geen zin heeft.
En jij denkt dat Apple de persoon gaat uitbetalen :)
De programeurs krijgen ook maar om de zoveel tijd een rekening van apple.
Dat is wat elk bedrijf zo ongeveer doet hoor, pas als je bij een 'x' bedrag bent (150 dollar dacht ik) wordt er uitbetaald, daar is Apple echt niet de enige in. Google zal precies hetzelfde doen, als de meeste advertentie bedrijven, en payment bedrijven alla Mollie.

Daarnaast kan je als je een applicatie niet goed vind je geld terug vragen bij Apple.

[Reactie gewijzigd door ZpAz op 7 juli 2010 13:24]

Je kan lezen wat Madcat zegt ipv aangevallen te voelen omdat Apple wordt aangevallen als je het met zeer brede interpretatie leest.
En wat zegt hij dan, hij zegt 'En jij denkt dat Apple gaat betalen' en om zijn bericht kracht bij te zetten gebruikt hij een ander voorbeeld waar hij zegt van 'Ja maar Apple betaald programmeurs ook maar eens in de zoveel tijd uit' iets wat elk ander bedrijf doet, en heel normaal is.

Conclusie via zijn argument kan je niet zeggen of Apple wel of niet geld terug gaat geven. Daarnaast kan je o.a via customer-service wel geld terugkrijgen van applicaties die je niet goed vind. Dus misschien kunnen de gedupeerden in dit geval ook een regeling treffen.
Hij zegt dat Apple dat geld niet gaat storten als ze weten dat het een scam is.
En ook dat je niet onmiddellijk geld doorgegeven krijgt van Apple waardoor Apple het dus zou kunnen tegenhouden als het snel genoeg wordt opgemerkt.

Dus je kan lezen wat Madcat zegt ipv aangevallen te voelen omdat Apple wordt aangevallen als je het met zeer brede interpretatie leest.
idd, omdat het een scam is zal de "bedenker" geen geld gestort krijgen en daardoor zal het in de toekomst ook niet meer gedaan worden.
als consument (lees: creditkaart gebruiker) zal je sowieso geen schade leiden omdat je het kan terug trekken en verwacht dat apple zelfs niet de credit maatschappij zal aanrekenen.

met andere woorden, geen reden voor paniek!
Als je een applicatie download wordt het wel 'vrijwel direct' van je rekening gehaald, dat een ontwikkelaar het 'wat later' krijgt (pas als hij x bedrag heeft verdiend) staat daar compleet los van.
Die ccv-code kan toch net zo goed onderschept worden als iemand die in toetst?
Hierboven staat onderschept, maar het lijkt me niet dat de wachtwoord en gebruikersnaam richting de apple-servers via plain-text gaan, dus over wifi zal het niet gaan, waarschijnlijk hebben ze de gegevens op een één of andere site ingevuld ofzo.
Ik vraag me af waarom ze niet naar de volledige ccv-code vragen. Het is altijd alleen de laatste 3 cijfers, terwijl er altijd xxxx-xxx op de kaart staat. Die eerste 4 heb ik nog nooit nodig gehad...
Die eerste 4 cijfers zijn de laatste cijfers van je creditcard.

Weet ook niet waarom, maar ik denk zodat ze als ze een afbeelding van de voor- en achterkant van de kaart hebben, ze kunnen zien dat ze van dezelfde kaart zijn of zo.
hmm, er zijn heel wat meer mensen met ernstigere problemen op windows (zoals iemand die ken die 100,000euro van zijn rekening heeft zien verdwijnen, top de ING bank!)

windows 98 is giga geweldig! voor trojan makers :+
en deze hack was apple's eigen schuld, niet vanwegen een security lek (maar vanwege slechte controle)

[Reactie gewijzigd door stewie op 7 juli 2010 15:21]

En waar in het artikel staat dat het enkel Windows gebruikers zijn? Ok, procentueel is dit de grootste kans. Creditcardfraude bestaat op elk OS

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True