Gå til innhold

One Mobile abn - farlig å fylle på konto!

etjazz

Av etjazz
i Mobiloperatører og tjenester

Anbefalte innlegg

etjazz

etjazz

Skrevet
Skrevet

Har du One mobile abn? Ikke bruk deres online påfyllingstjeneste. One har ingen form for kryptering på siden, så når du bruker ditt kredittkortnr til å fylle på konto, så sender du det i teorien slik at tusenvis har mulighet til å lese ditt kortnr, utløpsdato og sikkerhetskode - alt som trengs for å tømme bankkontoen din. VISA vil aldri gi deg noe erstatning om ditt kort skulle bli tømt etter å ha brukt en usikret betalingstjeneste over nett

 

 

One burde gitt webmasteren sparken på dagen spør du meg.

Lenke til kommentar

Videoannonse

Videoannonse
Annonse
Lurifaksen

Lurifaksen

Skrevet
Skrevet
One har ingen form for kryptering på siden, så når du bruker ditt kredittkortnr til å fylle på konto, så sender du det i teorien slik at tusenvis har mulighet til å lese ditt kortnr, utløpsdato og sikkerhetskode - alt som trengs for å tømme bankkontoen din.

Nå tar du ekstremt feil. At det ikke er kryptering betyr på ingen måte at hvem som helst kan se hvilke data du sender! En hacker som overvåker trafikken kan i teorien snappe opp opplysningene dine. Sannsynligheten for at de skulle skje er jo langt under 0.01%, men allikevel er det svært "uaktsomt" av One å ikke kjøre betalingene over en kryptert forbindelse.

Lenke til kommentar
etjazz

etjazz

Skrevet
  • Forfatter
Skrevet
Nå tar du ekstremt feil. At det ikke er kryptering betyr på ingen måte at hvem som helst kan se hvilke data du sender!

Jeg tar nok ikke ekstremt feil kjære deg. At du sender uten kryptering betyr at dine data er potensielt synlig for svært mange mennesker. En tracert fra min pc(NGT) viser at jeg må innom minst 15 routere før jeg når One sin server. Kanskje ikke de mest tvilsomme maskinene ettersom det er telenor sin infrastruktur, men kundene som benytter One kan i teorien befinne seg hvor som helst i verden. Hva om du backpacker gjennom Asia, er på ferie i Bulgaria eller besøker en onkel i Amerika og finner ut at du skal fylle på kontoen din? Jeg ville i alle fall ikke latt mitt VISA nr passere gjennom 20-30 routere i Malaysia....

 

En hacker som overvåker trafikken kan i teorien snappe opp opplysningene dine. Sannsynligheten for at de skulle skje er jo langt under 0.01%,

... og 87,5% av all statestikk blir diktet opp på stedet. Hvor har du den prognosen fra?

Hackere, da spesiellt i Asia, er kjent for å logge mail/IM trafikk på routere for å snappe opp kredittkort nr.

 

men allikevel er det svært "uaktsomt" av One å ikke kjøre betalingene over en kryptert forbindelse.

... ikke bare ekstremt uaktsomt, men svært uprofisjonelt av dem også. De burde i alle fall ha en disclaimer på siden som informerte om at dataene dine sendes i klartekst.

Lenke til kommentar
Lurifaksen

Lurifaksen

Skrevet
Skrevet (endret)

Du overdramatiserte det litt ved å skrive at i teorien har tusenvis mulighet til å lese dataene du sender.

 

Selvsagt var eksempelet med 0.01% sannsynlighet diktet opp, men det er jo allikevel realistisk gjetting.

 

Det er jo f.eks. langt mer sannsynlig at spyware på PC'en snapper opp dataene, enn at dataene snappes opp på veien fra din PC, til webserveren.

 

I teorien er alt mulig. Som f.eks at ansatte i One snapper datene opp, ansatte i leverandøren av betalingstjenesten snapper det opp osv.

 

Selvfølgelig er det særdeles uproft og uaktsomt, men så dramatisk som du antydet er det ikke...

 

Litt off topic (nå sikter jeg ikke til deg etjazz): Jeg synes det er litt morsomt at alle skal være så ekstremt kritisk til sikkerheten på nett, og redd for å gjennomføre betalinger over nett. I den "analoge" verden gir jo folk fullstendig blaffen. Nå er det en stund siden jeg sjekket dette, men før var det i alle fall mulig å bruke en annen persons kredittkort, bare ved å plukke opp en kvittering vedkommende kastet fra seg (i f.eks. bank), og finne ut fødselsdagen til personen. Og så har vi jo folk som leverer fra seg kredittkort i bar/restaurant :D

Endret av Lurifaksen
Lenke til kommentar
Lurifaksen

Lurifaksen

Skrevet
Skrevet (endret)
Alle kvitteringer jeg har tatt vare på når jeg har brukt visaet mitt står alle sifre unntatt de 5 siste sensurert.

Ja, jeg tror det er et sikkerhetstiltak som er innført de siste årene. For en del år siden er jeg rimelig sikker på at det ikke var slik. 5 sifre tar jo for øvrig ikke så lang tid å brute-force ;)

 

Edit: Er faktisk ikke VISA nummeret som trengs, men kontonummeret. Kontonummeret pleier vel å stå usensurert på kvitteringer i f.eks. bank?

Endret av Lurifaksen
Lenke til kommentar
Lurifaksen

Lurifaksen

Skrevet
Skrevet
Og hvordan i all verden klarer du å tappe kontoen min med kontonr + fødsels_dato_?

Nå er det mange år siden jeg prøvde dette, men skal prøve å forklare ut i fra det jeg husker.

 

Det finnes VISA/Mastercard kode-generatorer på internett. For å kunne gjennomføre et kjøp med kredittkort på internett, trengs i tillegg "expiry date" på kortet, noe som også er mulig å generere (nå kreves også et kontrollsiffer, antagelig mulig å generer dette også på en måte).

 

Jeg er selvfølgelig ikke kriminell, og testet dette kun på meg selv:

Ved hjelp av kontonummeret mitt, og fødselsadatoen min, litt programvare klarte jeg å generere kortnummeret og utløpsdato på kortet. Jeg brukte dette til å bestille en vare på internett.

 

Det som var poenget her, er at jeg hadde et VISA elektron kort, et kort som ikke har et kortnummer/utløpsdato frempå, og derfor i utgangspunktet ikke skal være mulig å handle på interentt med heller. Til tross for dette klarte jeg altså å generere den "ikke-eksisterende" koden, og gjennomføre et kjøp over interentt med kortet mitt. Jeg kan ikke se noen årsak til at det ikke skulle være mulig å gjøre med andres kort, da de eneste opplysningene jeg brukte var fødselsdato (husker ikke hvorfor jeg trengte denne), og kontonummer. Men det er selvsagt ikke prøvd.

 

(igjen minner jeg på at dette ble gjort for mange år siden, og ting har endret seg, blant annet kreves det nå en ekstra verifiseringskode (3 siffer) ved betaling med kredittkort).

Lenke til kommentar
etjazz

etjazz

Skrevet
  • Forfatter
Skrevet
Du overdramatiserte det litt ved å skrive at i teorien har tusenvis mulighet til å lese dataene du sender.

Overdramatiserer? Det er et fakta at veldig mange mennesker har mulighet til å lett lese dataene dine fordi de ikke er kryptert på noen måte.

 

Selvsagt var eksempelet med 0.01% sannsynlighet diktet opp, men det er jo allikevel realistisk gjetting.

Så om dette er en realistisk gjetting, så vil jeg påstå det er litt grunn til panikk. Chess har f.eks vel 130 000 kunder, og om One hadde vært/blir av samme størrelse, så er det altså snakk om 130 kredittkort som blir svindlet....

 

Det er jo f.eks. langt mer sannsynlig at spyware på PC'en snapper opp dataene, enn at dataene snappes opp på veien fra din PC, til webserveren. I teorien er alt mulig. Som f.eks at ansatte i One snapper datene opp, ansatte i leverandøren av betalingstjenesten snapper det opp osv.

Enig i dette, men det er ikke noe argument som forsvarer One. Det ligger også en stor forskjell i henhold til hva som vil skje om du prøver å søke erstatning for tap etter kortsvindel. Om du har brukt korter ditt hos One og blitt svindlet, så vil sansynligvis VISA argumentere at du har vært uaktsom og derfor nekte deg en erstatning(uavhengig om det var One sin side som var det stedet forbryteren fikk tak i kortnr ditt). At du ikke visste at du brukte en usikker tjeneste er ikke en gang en formildene omstedighet. Tidligere erstatningsaker i norge har blitt dømt etter prinsippet om at "Ignorance is no excuse".

 

 

Selvfølgelig er det særdeles uproft og uaktsomt, men så dramatisk som du antydet er det ikke...

Litt off topic (nå sikter jeg ikke til deg etjazz): Jeg synes det er litt morsomt at alle skal være så ekstremt kritisk til sikkerheten på nett, og redd for å gjennomføre betalinger over nett.

Enig at at det er et paradox med hvor redd folk er for å benytte kredittkort på internet, mens de tilsynelatende ikke er så nøye med hvem de låner det til i den "analoge" verden - det er litt av årasken til at jeg "brenner" for dette også. Grunnen til at folk er redd for å bruke kort på nett, er at det har hørt flere skrekkhistorier om andre som har blitt svindlet; men andre som har blitt svindelet på nett har jo som oftest blitt det fordi de har benyttet tvilsomme webshopper eller tvilsomme betalingsløsninger - a la det vi ser hos One.

Lenke til kommentar
etjazz

etjazz

Skrevet
  • Forfatter
Skrevet
... og 87,5% av all statestikk blir diktet opp på stedet. Hvor har du den prognosen fra?

Hackere, da spesiellt i Asia, er kjent for å logge mail/IM trafikk på routere for å snappe opp kredittkort nr.

 

Nå ble jeg nysjerrig. Du sier at 87,5% av all statistikk blir oppdiktet... ;)

... og det var en vits :p

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...