900 Euro afschrijven na triviale hack

Door Spider.007 op woensdag 15 juni 2011 13:00 - Reacties (14)
Categorie: hack, Views: 6.777

Greenchoice heeft een mooie actie. Doe mee met Meewind; participeer voor 1000 Euro in een windmolenpark en krijg van Greenchoice een garantie op je inzet. Het proces tot deelname is dat er eerst 100 Euro (via automatische incasso) wordt afgeschreven, en later kun je hier 900 Euro bijstorten (wederom via automatische incasso).

Na mij op 24 april aangemeld te hebben werd na 3 weken (al...) de eerste 100 Euro afgeschreven. Vandaag ontving ik de vervolg mailing met daarin een bijzondere link:

Ja, ik doe mee en zet mijn inleg van § 100 om in een participatie van § 1000 in Meewind.
Door ja op ja te klikken geeft u Greenchoice opdracht voor een eenmalige machtiging van § 900.

Nu is dit erg handig, maar ook wel behoorlijk eng (en behoorlijk dubieus of dit rechtsgeldig is). Na het linkje te hebben geklikt verwacht ik uiteraard in te moeten loggen, of extra gegevens te moeten invoeren. Nee hoor, zoals beloofd krijg ik direct een resultaat pagina:
Als klant van Greenchoice heeft u zojuist uw eerste inleg van § 100 omgezet in een participatie Meewind van § 1.000
Er is met deze flow 1 groot probleem. De link waar ik op klikte (in mijn email) was als volgt:

http://***.infamousrepublic.com/*********?nummer=24734

Ik wordt na het klikken daarop doorgestuurd naar:

http://**meewind.nl/greenchoice-v0.9.php?em=*********@gmail.com&kn=574313&mb=900&mn=Meewind%20Greenchoice%20900%20mailing&md=08-06-2011

Zoals je kan zien staat hier mijn emailadres, greenchoice-klantnummer en het bedrag dat moet worden afgeschreven. Gezien de bevestiging staat de incasso ook ingeboekt.

Nu kunnen jullie vast wel raden wat er gebeurt als je het nummer in de eerste URL verhoogd of verlaagd...



Na mijn melding is dit probleem overigens snel opgepakt door de ontwikkelaar en kreeg ik zelfs een bos bloemen thuisgestuurd als bedankje voor het melden :)

Het probleem bleek de in het mailingpakket ingebouwde URL shortener die oplopende ID's gebruikte.