Als je naar de NS boekingssite gaat voor de Businesscard (https://www.ns.nl/mijnnszakelijk/login) en je gaat vanuit Startscherm naar Treinreis boeken, dan krijg je de volgende pagina:
Klik voor het grote plaatje
Als je de muis op Doorgaan zet, dan zie je onderin de link staan. Als je er op klikt wordt uiteraard die link geopend. De gegevens in die link komen exact overeen met de gegevens van mijn kaart.
Als ik de pincode in de link verander, dan krijg ik de foutmelding "De ingevulde pincode is onjuist."
Als ik het kaartnummer in de link verander, dan krijg ik de foutmelding "Het ingevulde kaartnummer is onjuist."
Als ik het kaartnummer en de pincode verander, dan krijg ik ook "Het ingevulde kaartnummer is onjuist."
Wanneer ik dus de kaart van iemand anders (fysiek) kan zien, dan kan ik dus op deze manier achter de pincode komen. Aangezien mensen doorgaans zo veel mogelijk dezelfde pincode gebruiken, kan ik dus op deze manier met een beetje geluk ook iemand's pincode ontdekken. Het gaat slechts om 10.000 mogelijkheden, met een simpel script is een code dus zo achterhaald. Ook kan ik dan enorm veel boekingen plaatsen -> dikke rekening als gevolg.
Nu is de URL tot op zekere hoogte wel encrypted, maar toch vraag ik mij af hoe veilig dit systeem is. Moet ik mij zorgen maken? Als ik online zou boeken en iemand leest toevallig mee, dan lijkt mij dit niet bepaald veilig. Is de history van browsers ook beveiligd als het gaat om https?
Ik heb de link al gekopieerd naar een computer die nog geen NS.nl cookies o.i.d. had. Ook dan wordt de link gewoon geopend.
Maak ik mij terecht zorgen?
Klik voor het grote plaatje
Als je de muis op Doorgaan zet, dan zie je onderin de link staan. Als je er op klikt wordt uiteraard die link geopend. De gegevens in die link komen exact overeen met de gegevens van mijn kaart.
Als ik de pincode in de link verander, dan krijg ik de foutmelding "De ingevulde pincode is onjuist."
Als ik het kaartnummer in de link verander, dan krijg ik de foutmelding "Het ingevulde kaartnummer is onjuist."
Als ik het kaartnummer en de pincode verander, dan krijg ik ook "Het ingevulde kaartnummer is onjuist."
Wanneer ik dus de kaart van iemand anders (fysiek) kan zien, dan kan ik dus op deze manier achter de pincode komen. Aangezien mensen doorgaans zo veel mogelijk dezelfde pincode gebruiken, kan ik dus op deze manier met een beetje geluk ook iemand's pincode ontdekken. Het gaat slechts om 10.000 mogelijkheden, met een simpel script is een code dus zo achterhaald. Ook kan ik dan enorm veel boekingen plaatsen -> dikke rekening als gevolg.
Nu is de URL tot op zekere hoogte wel encrypted, maar toch vraag ik mij af hoe veilig dit systeem is. Moet ik mij zorgen maken? Als ik online zou boeken en iemand leest toevallig mee, dan lijkt mij dit niet bepaald veilig. Is de history van browsers ook beveiligd als het gaat om https?
Ik heb de link al gekopieerd naar een computer die nog geen NS.nl cookies o.i.d. had. Ook dan wordt de link gewoon geopend.
Maak ik mij terecht zorgen?
[ Voor 8% gewijzigd door Trommelrem op 15-07-2012 18:34 ]
:strip_icc():strip_exif()/u/40504/muis.jpg?f=community)
:strip_icc():strip_exif()/u/16567/my_avatar2.jpg?f=community){kind=avatar}
/u/249034/arrow.png?f=community){kind=icon}
