Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Creditcardbetaling bij Neckermann onveilig

07-09-2010, 13:14 door Anoniem, 3 reacties
Creditcard betalingen worden tegenwoordig "beschermd" met een PIN code: koop je in een nederlandse webwinkel iets met je creditcard, dan is een gang via een autorisatiescherm waarop de PIN code wordt gevraagd erg gangbaar.

Zo ook op de site www.neckermann.nl. Wie daar iets afrekent met de creditcard, wordt, in ieder geval als het een creditcard van de Rabobank is, via een autorisatiescherm gestuurd, en daar gevraagd om de creditcard in de welbekende "random reader" te stoppen, de PIN code in te geven en via een challenge-response een code op te geven. Pas als die code is gevalideerd en juist is bevonden is de betaling gedaan, toch?

Fout.

In ieder geval de www.neckermann.nl site geeft enerzijds wel aan dat er bij een creditcard betaling geautoriseerd moet worden, maar controleert vervolgens niet de retourcode van de betalingssite. Wie dus aangeeft te wíllen betalen met creditcard, daarbij het creditcard nummer ingeeft op de neckermann site, en vervolgens op het autorisatiescherm van de bank op 'Annuleren' drukt, krijgt een vrolijk "Betaling geaccepteerd" te zien van Neckermann ... en ja, het bedrag wordt dan écht (via Thomas Cook) van de rekening afgeschreven.

Wat de aanvalsvectors zijn voor websites die retourcodes van betalingsites niet controleren mag de lezer zelf verzinnen.
Reacties (3)
07-09-2010, 16:44 door Anoniem
Oei - Full Disclosure.... mag dat bij security.nl?
07-09-2010, 17:47 door ej__
Moet je eens meerdere huizenprijzen bij veh opvragen. Dan betaal je ook maar 1 keer voor alle huizen ipv voor 1 huis. Zelfde soort fout. Is wel handig als je op zoek bent naar een huis. ;)
09-09-2010, 10:43 door Anoniem
Een aantal winkeliers controleert de return code wel, maar hanteert een fallback naar de oude wijze van betalen op basis van kaartnummer, vervaldatum en cvc code. Hoewel dat enige nuance aanbrengt in het verhaal hierboven blijft het nog steeds ongewenst vanuit de optiek van de klant.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.