The weblogs of John K.

Muziek downloaden op kosten van een ander
Sunday, January 16, 2005, 11:19 a.m.

Bron: Kassa.vara.nl
Je kunt rustig de naam en het bankrekening van een ander invullen en je kunt met een bedrag van € 30 onmiddellijk aan de slag – nog voordat dat bedrag van die rekening is afgeschreven. Je hebt er ook geen pincode of wachtwoord voor nodig.

MSN Music werkt net als bijv. Download.nl en Chello met de betaaldienst Firstgate. Je kunt een prepay-tegoed op die muzieksites via Firstgate betalen met een z.g. internetmachtiging. Je staat dan toe dat het bedrijf eenmalig een bepaald bedrag van je rekening haalt.

Eenzelfde systeem wordt ook gehanteerd door internetwinkels en de hulpactie 555. Verschil is, dat bij de muzieksites je onmiddellijk de beschikking hebt over het bedrag waarvoor je een machtiging hebt afgegeven – nog voordat het geld van de opgegeven rekening is afgehaald. Je kunt dus direct gaan downloaden. Gemakkelijk, maar het nodigt uit tot misbruik.

Pas bij latere ophogingen van je prepay budget wordt een pincode verlangd. Die pincode krijg je doordat Firstgate meteen na je aanmelding een cent op de opgegeven rekening stort en onder mededelingen de pincode doorgeeft. Maar Computer Idee en Kassa ontdekten dat je je budget nog zeker één keer met € 30 kon ophogen voordat de pincode werd vereist.

Het bedrijf wilde niet in de uitzending reageren maar erkende via de telefoon, dat er gefraudeerd kan worden. Er wordt een afweging gemaakt tussen gebruiksgemak en risico’s. Maar het bedrijf ziet vooralsnog geen reden om iets aan de procedure te veranderen.

Ook Gijs Boudewijn van de Nederlandse Vereniging van Banken zegt dat de internet-machtiging fraudegevoelig is. De banken erkennen deze machtiging niet. Ze erkennen alleen schriftelijke en telefonische machtigingen. Wie dus werkt met de internetmachtiging, doet dit geheel op eigen risico. Als iemand geld terugvraagt omdat dat onterecht van zijn rekening zou zijn afgehaald, dan kan een bedrijf zich dus nooit beroepen op zo’n internetmachtiging. Een klant krijgt dus onmiddellijk het bedrag teruggestort. Maar het kan lang duren voordat iemand merkt dat er onterecht geld van zijn rekening is afgehaald. Zeker als het om een rekeningnummer van een groot bedrijf gaat. Volgens Boudewijn kan men in dit soort gevallen nog tot een jaar na dato geld terugvorderen.

Maar waarom verbieden de banken het werken met de internet-machtiging niet? We gedogen het gebruik, omdat de markt het zo gemakkelijk vindt, zowel bedrijven als klanten, zegt Boudewijn. Maar zouden er dan niet veel meer veiligheidseisen aan het gebruik ervan gesteld moeten worden? Volgens Boudewijn hebben de banken daar lang op gestudeerd en zijn ze tot de conclusie gekomen, dat je dit betalingssysteem nooit waterdicht krijgt. Het wachten is op het nieuwe internet-betaalsysteem dat de banken hebben bedacht, Ideal. Dat moet nog dit jaar geïntroduceerd worden.

Stellen de banken dan geen enkele eis aan bedrijven die met internet-machtigingen werken? Ja wel, zegt Boudewijn. Als er veel problemen ontstaan met incasso’s, bijv. veel storneringen, dan gaan we met zo’n bedrijf praten. De uiteindelijke sanctie is het intrekken van hun machtiging om met automatische incasso te werken.

Firstgate liet Kassa weten dat de IP-adressen van gebruikers worden geregistreerd. Daarmee zou het mogelijk zijn fraudeurs op te sporen. Maar aanvankelijk zei het bedrijf dat ze daar geen energie in stoppen – het gaat om kleine aantallen en kleine bedragen. Later kreeg Kassa een brief van de advocaat van het bedrijf. Daarin wordt opeens gesproken van “actie ondernemen” en aanmelding bij de politie.

Kassa vindt dat rekeninghouders als het maar even kan gevrijwaard moeten blijven van overschrijvingen waar ze helemaal niets mee te maken hebben. Hopelijk komt het bedrijf in de volgende uitzending uitleggen dat ze een aantal extra veiligheidsmaatregelen heeft getroffen.

Excuus Achmea voor 'nabestaandenbrief'
Saturday, January 15, 2005, 03:11 p.m.

Bron: Nu.nl
Een groep van vierhonderd mensen heeft deze week een brief gehad van zorgverzekeraar Achmea gericht aan "de nabestaanden van", terwijl aangeschrevene levend en wel is. Reden voor Achmea Zorg om in het stof te kruipen en per ommegaande een brief met oprechte excuses te versturen aan de gedupeerden.

Volgens woordvoerster Sneller van Achmea Zorg is de brief door een computerfout verstuurd aan ongeveer vierhonderd mensen in Overijssel, Flevoland en Drenthe. Een van hen was een broer van presentatrice Tooske Breugem die springlevend is. Als het goed is, vindt hij zaterdag een excuusbrief op de mat.

Zo'n 41.000 mensen in de drie provincies kregen een schrijven over de jaarlijkse verhoging van de bijdrage aan de bijzondere ziektekosten (AWBZ). Het zorgkantoor in Zwolle handelt deze post af voor het ministerie van Volksgezondheid. Volgens de woordvoerster zal het kantoor nagaan hoe de controle kan worden verscherpt om herhaling te voorkomen.

T-mobile netwerk jaar lang gehacked
Thursday, January 13, 2005, 03:46 p.m.

Bron: Geenstijl.nl
Kijk, dat is nou hacken: Het t-mobile netwerk rondom Washington DC is meer dan een jaar lang in handen geweest van een evil hacker. T-Mobile had er weet van, maar vertelde niemand iets. De 21-jarige Nicolas Jacobsen haalde foto's van de mobieltjes van onder andere Paris Hilton en Demi Moore. Niks Ddossen, hij kreeg documenten en wachtwoorden van de Secret Service in handen en had er zelfs weet van dat zijn eigen ICQ afgeluisterd werd. De reden dat hij gepakt werd? Hij vertrouwde een infiltrant en vroeg hem om een proxy-server die afgeluisterd werd. Pas trouwens maar op. Ook in Duitsland had T-mobile securityproblemen die ze achterhield voor het publiek. Zoveel verschilt het T-mobile netwerk in de USA niet van dat in Nederland trouwens.

==========================================================

Bron: securityfocus.com
By Kevin Poulsen, SecurityFocus Jan 11 2005 7:43PM

A sophisticated computer hacker had access to servers at wireless giant T-Mobile for at least a year, which he used to monitor U.S. Secret Service e-mail, obtain customers' passwords and Social Security numbers, and download candid photos taken by Sidekick users, including Hollywood celebrities, SecurityFocus has learned.

Twenty-one year-old Nicolas Jacobsen was quietly charged with the intrusions last October, after a Secret Service informant helped investigators link him to sensitive agency documents that were circulating in underground IRC chat rooms. The informant also produced evidence that Jacobsen was behind an offer to provide T-Mobile customers' personal information to identity thieves through an Internet bulletin board, according to court records.

Jacobsen could access information on any of the Bellevue, Washington-based company's 16.3 million customers, including many customers' Social Security numbers and dates of birth, according to government filings in the case. He could also obtain voicemail PINs, and the passwords providing customers with Web access to their T-Mobile e-mail accounts. He did not have access to credit card numbers.

The case arose as part of the Secret Service's "Operation Firewall" crackdown on Internet fraud rings last October, in which 19 men were indicted for trafficking in stolen identity information and documents, and stolen credit and debit card numbers. But Jacobsen was not charged with the others. Instead he faces two felony counts of computer intrusion and unauthorized impairment of a protected computer in a separate, unheralded federal case in Los Angeles, currently set for a February 14th status conference. On July 28th the informant gave his handlers proof that their own sensitive documents were circulating in the underground marketplace they'd been striving to destroy. The government is handling the case well away from the spotlight. The U.S. Secret Service, which played the dual role of investigator and victim in the drama, said Tuesday it couldn't comment on Jacobsen because the agency doesn't discuss ongoing cases-- a claim that's perhaps undermined by the 19 other Operation Firewall defendants discussed in a Secret Service press release last fall. Jacobsen's prosecutor, assistant U.S. attorney Wesley Hsu, also declined to comment. "I can't talk about it," Hsu said simply. Jacobsen's lawyer didn't return a phone call.

T-Mobile, which apparently knew of the intrusions by July of last year, has not issued any public warning. Under California's anti-identity theft law "SB1386," the company is obliged to notify any California customers of a security breach in which their personally identifiable information is "reasonably believed to have been" compromised. That notification must be made in "the most expedient time possible and without unreasonable delay," but may be postponed if a law enforcement agency determines that the disclosure would compromise an investigation.

Company spokesman Peter Dobrow said Tuesday that nobody at T-Mobile was available to comment on the matter.

Cat and Mouse Game
According to court records the massive T-Mobile breach first came to the government's attention in March 2004, when a hacker using the online moniker "Ethics" posted a provocative offer on muzzfuzz.com, one of the crime-facilitating online marketplaces being monitored by the Secret Service as part of Operation Firewall.

"[A]m offering reverse lookup of information for a t-mobile cell phone, by phone number at the very least, you get name, ssn, and DOB at the upper end of the information returned, you get web username/password, voicemail password, secret question/answer, sim#, IMEA#, and more," Ethics wrote.

The Secret Service contacted T-Mobile, according to an affidavit filed by cyber crime agent Matthew Ferrante, and by late July the company had confirmed that the offer was genuine: a hacker had indeed breached their customer database,

At the same time, agents received disturbing news from a prized snitch embedded in the identity theft and credit card fraud underground. Unnamed in court documents, the informant was an administrator and moderator on the Shadowcrew site who'd been secretly cooperating with the government since August 2003 in exchange for leniency. By all accounts he was a key government asset in Operation Firewall.

On July 28th the informant gave his handlers proof that their own sensitive documents were circulating in the underground marketplace they'd been striving to destroy. He'd obtained a log of an IRC chat session in which a hacker named "Myth" copy-and-pasted excerpts of an internal Secret Service memorandum report, and a Mutual Legal Assistance Treaty from the Russian Federation. Both documents are described in the Secret Service affidavit as "highly sensitive information pertaining to ongoing USSS criminal cases."

At the agency's urging, the informant made contact with Myth, and learned that the documents represented just a few droplets in a full-blown Secret Service data spill. The hacker knew about Secret Service subpoenas relating to government computer crime investigations, and even knew the agency was monitoring his own ICQ chat account.

Myth refused to identify the source of his informational largesse, but agreed to arrange an introduction. The next day Myth, the snitch, and a third person using the nickname "Anonyman" met on an IRC channel. Over the following days, the snitch gained the hacker's trust, and the hacker confirmed that he and Ethics were one and the same. Ethics began sharing Secret Service documents and e-mails with the informant, who passed them back to the agency.

Honeypot Proxy
By August 5th the agents already had a good idea what was going on, when Ethics made a fateful mistake. The hacker asked the Secret Service informant for a proxy server -- a host that would pass through Web connections, making them harder to trace. The informant was happy to oblige. The proxy he provided, of course, was a Secret Service machine specially configured for monitoring, and agents watched as the hacker surfed to "My T-Mobile," and entered a username and password belonging to Peter Cavicchia, a Secret Service cyber crime agent in New York.

Cavicchia was the agent who last year spearheaded the investigation of Jason Smathers, a former AOL employee accused of stealing 92 million customer e-mail addresses from the company to sell to a spammer. The agent was also an adopter of mobile technology, and he did a lot of work through his T-Mobile Sidekick -- an all-in-one cellphone, camera, digital organizer and e-mail terminal. The Sidekick uses T-Mobile servers for e-mail and file storage, and the stolen documents had all been lifted from Cavicchia's T-Mobile account, according to the affidavit. (Cavicchia didn't respond to an e-mail query from SecurityFocus Tuesday.)

By that time the Secret Service already had a line on Ethic's true identity. Agents had the hacker's ICQ number, which he'd used to chat with the informant. A Web search on the number turned up a 2001 resume for the then-teenaged Jacobsen, who'd been looking for a job in computer security. The e-mail address was listed as ethics@netzero.net.

The trick with the proxy honeypot provided more proof of the hacker's identity: the server's logs showed that Ethics had connected from an IP address belonging to the Residence Inn Hotel in Buffalo, New York. When the Secret Service checked the Shadowcrew logs through a backdoor set up for their use -- presumably by the informant -- they found that Ethics had logged in from the same address. A phone call to the hotel confirmed that Nicolas Jacobsen was a guest.

Snapshots Compromised
Eight days later, on October 27th, law enforcement agencies dropped the hammer on Operation Firewall, and descended on fraud and computer crime suspects across eight states and six foreign countries, arresting 28 of them. Jacobsen, then living in an apartment in Santa Ana in Southern California, was taken into custody by the Secret Service. He was later released on bail with computer use restrictions.

Jacobsen lost his job at Pfastship Logistics, an Irvine, California company where he worked as a network administrator, and he now lives in Oregon.

The hacker's access to the T-Mobile gave him more than just Secret Service documents. A friend of Jacobsen's says that prior to his arrest, Jacobsen provided him with digital photos that he claimed celebrities had snapped with their cell phone cameras. "He basically just said there was flaw in the way the cell phone servers were set up," says William Genovese, a 27-year-old hacker facing unrelated charges for allegedly selling a copy of Microsoft's leaked source code for $20.00. Genovese provided SecurityFocus with an address on his website featuring what appears to be grainy candid shots of Demi Moore, Ashton Kutcher, Nicole Richie, and Paris Hilton.

The swiped images are not mentioned in court records, but a source close to the defense confirmed Genovese's account, and says Jacobsen amused himself and others by obtaining the passwords of Sidekick-toting celebrities from the hacked database, then entering their T-Mobile accounts and downloading photos they'd taken with the wireless communicator's built-in camera.

The same source also offers an explanation for the secrecy surrounding the case: the Secret Service, the source says, has offered to put the hacker to work, pleading him out to a single felony, then enlisting him to catch other computer criminals in the same manner in which he himself was caught. The source says that Jacobsen, facing the prospect of prison time, is favorably considering the offer.

Gmail stuurt per ongeluk andermans mail door
Thursday, January 13, 2005, 03:33 p.m.

Bron: Nu.nl
Twee programmeurs hebben een lek ontdekt in Google's populaire maildienst Gmail. Hierdoor kon elke gebruiker de servers van het bedrijf doorzoeken op informatie over het laatst verzonden bericht van wie dan ook afkomstig. Door een '>' achter een e-mailadres van een geadresseerde te tikken, stuurde de Gmail-server gegevens terug over het laatste mailtje dat via de server was verstuurd. Het lek werd ontdekt door twee programmeurs van een FreeBSD-gemeenschap. Nadat Google woensdag op de hoogte werd gebracht, was het lek binnen enkele uren gedicht. Dit liet een woordvoerder tegenover CNet weten.

==========================================================

Bron: CNET News.com
A problem with Google's e-mail service, Gmail, let any user query the company's servers for information on the last message sent, two hackers announced on Wednesday. The programmers, part of a community site dedicated to the Unix-like FreeBSD operating system, found that an improperly formatted address allowed Gmail users to retrieve the message body of the last HTML-formatted e-mail processed by the server. "The result is a compromise of the privacy of communications over Gmail," the two programmers stated in their write-up of the problem. "Message content and address information are easily--if somewhat randomly--available to unintended recipients." Google acknowledged the problem Wednesday and said it had been fixed. It is unclear how long the glitch lasted. The problem became apparent when an e-mail message sent by the programmers left off a ">" from the end of a recipient's address. The result: Google's server sent back seemingly random information that the hackers realized was information from someone else's e-mail message. Google acknowledged the problem and had fixed it by the end of the day, a source at the company said Wednesday. Since the problem originated in the application on the company's servers, the fix immediately plugged the leak for all users, the source said. The search giant has increasingly had to deal with security flaws because its popularity has security researchers looking more closely at the firm's products. Worms have used Google's search engine to find potentially vulnerable hosts on the Internet, and flaws in the company's desktop search program left computers that ran the software open to attack. Google's free e-mail bet, Gmail, was launched last April and has quickly gained a large following. While the system is technically still in beta, many users have begun to rely on it. However, because most of Google's services run on the company's own servers rather than on software installed on users' systems, fixes for security problems can be deployed quickly.

Gift voor giro 555 dubbel afgeschreven
Wednesday, January 12, 2005, 09:18 p.m.

Bij 64.000 mensen die via de website van giro 555 geld voor Azië hebben gestort, is het bedrag twee keer afgeschreven. Het totaalbedrag dat is ingezameld, moet nu worden bijgesteld van 124,6 miljoen naar 122,1 miljoen euro. De mensen bij wie het bedrag dubbel is afgeschreven, krijgen het geld morgen terug. Ook krijgen ze een excuus-e-mail, zegt een woordvoerder van giro 555. Volgens Jeanne Roefs, waarnemend voorzitter van de SHO, is de fout begaan door iemand binnen de eigen organisatie, die per abuis een lijst van mensen die hadden aangegeven geld te willen doneren dubbel aan de bank ter incasso heeft afgegeven. "Het is dus puur een menselijke fout, die we allemaal gemaakt zouden kunnen hebben, maar het is natuurlijk wel heel vervelend dat dat nu juist met deze actie is gebeurd," aldus Roefs. Zij sprak verder de hoop uit dat het mensen er niet van zal weerhouden om door te gaan met het financieel steunen van de actie. Vanaf de start van de nationale actie voor Azië tot en met gisteren, hebben ruim 210.000 mensen via de website www.giro555.nl een donatie gedaan aan de SHO. Telefoontjes van particulieren naar de SHO hebben nu aan het licht gebracht dat bij 64.000 mensen ten onrechte twee maal het bedrag is afgeboekt. De SHO zorgt er voor dat donderdag de onterechte afboekingen worden teruggeboekt naar de rekeninghouders. Om dergelijke dubbelboekingen in het vervolg te voorkomen, heeft de SHO vanaf vandaag een extra check ingebouwd voordat donaties worden geïncasseerd. De dubbele afboekingen bedragen in totaal naar schatting € 2,5 miljoen en zijn ten onrechte verwerkt in de tussenstand van € 124,6 miljoen; de correcte tussenstand op giro 555 bedraagt € 122,1 miljoen.

Klantgegevens Leendesk.nl op straat
Wednesday, January 12, 2005, 11:37 a.m.

Als software tester is dit natuurlijk lachwekkend om te lezen. Leendesk... ga zo door ;-)

Bron: Geenstijl.nl
Laten we heel duidelijk zijn: mijdt Leendesk.nl als de zwarte pest. Leendesk is lek. GeenStijl kreeg de beschikking over een simpele link waarmee we een database met zeer gedetailleerde gegevens van alle Leendesk.nl-aanvragen konden inzien, samen met de rest van de digitale dorpspomp. De online woekeraars maken extreem veel reclame, waarvoor onder meer de dartende trambestuurder Co Stompé is ingehuurd om als een Duitse voetbaltrainer met leendesk op zijn kraag rond te lopen. Maar security of privacy kan ze blijkbaar geen klap schelen. Zo konden we tot vanmiddag het acces-bestand downloaden met informatie over: naam, adres, woonplaats, geboortedatum, beroep, bruto inkomen, naam werkgever, en natuurlijk het leenbedrag. Een schokkend grove schending van de privancy. Want het bestand was totaal NIET beschermd. De lezer die ons tipte kreeg het bestand te zien nadat hij wat fouten maakte met invullen. Omdat het om zeer gevoelige gegevens gaat, hebben we de link vanochtend eveneens gemaild naar Het College bescherming Persoonsgegevens. Inmiddels heeft het college zich van de schending op de hoogte gesteld. Wat ons betreft is het ontbreken van enige beveiliging misdadig te noemen, maar volgens de perswoordvoerder van het CBP zijn "persoonsgegevens een beetje vogelvrij op internet" Pas als iemand een klacht heeft ingediend, er een lang onderzoek is geweest, en de klager eventueel naar de rechter stapt, is er wat tegen dergelijke schendingen te doen. Eveneens konden wij leendesk niet vinden bij het CBP als officieel aangemeld bestand. Maar dat komt omdat er waarschijnlijk andere BV's achter zetten. Hebben ze hun bestand niet aangemeld, dan zijn ze dubbel strafbaar. Beluister de voice mail van de makers van de site, die direct al dreigen met juridische stappen. Kom maar op! Trouwens, hoe leuk zullen al die ambtenaren van Defensie of het Ministerie van Financiën het vinden dat hun financiële gegevens tot vandaag vrijelijk te downloaden waren voor iedere nerd die de moeite nam in de broncode te kijken? Lekker chantabel zijn ze zo. Maar goed, het CBP is op de hoogte en zo voorkomen we dat er straks weer berichten verschijnen in de trant: 'Geenstijl hackte de boel', want van hacken is geen sprake. Uiteraard zullen we het bestand niet publiceren, maar kijkt u even mee: we hebben een selectie gemaakt van de bedrijven en beroepen die men opgaf. In een handig excelsheetje, volledig geanonimiseerd en door elkaar gegooid, dus het beroep klopt niet met het leenbedrag of de postcode. Zo pakken we de leenklantjes niet, en hebben we toch voldoende bewijs.

JOHN'S BUG & HACKLIST ;-) archive: March 2003 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ I am: John Kronenberg Profession: software tester location: Enschede, Overijssel, the Netherlands =========================================== Beheer