Beetje nazoekwerk leert dat het bedrag simpelweg via een hidden inputfield werd doorgegeven. Sorry hoor, maar hoe slecht kan je code zijn? Door simpelweg de broncode van de HTML te kopieren, in een code-editor (of voor huis-tuin-en-keuken-oplichters: kladblok) te plakken, het bedrag aan te passen en vervolgens die zelfgemaakte pagina op te vragen en door te klikken naar bestellen ben je er al.Honderden studenten hebben maandenlang bijna gratis pizza's kunnen bestellen via de website Justeat.nl.
(...)
"Zodra ze een bestelling plaatsen en de betaling regelen, verhuizen ze naar een andere pagina op de website en zetten ze de eindafrekening op een stuiver. Dat bedrag wordt vervolgens door de bank bij de besteller afgeschreven", aldus Groenendijk.
Anders dan hij eerder beweerde, ging het niet om een lek in betaaldienst iDeal, maar om een fout in de website van de bezorgdienst zelf.
Ik kan er echt met mijn pet niet bij dat een webshop (want dat is JustEat: puur een webshop die voor allerlei bedrijven bestellingen regelt) zo'n brakke beveiliging heeft. Het bedrag mag natuurlijk NOOIT door de gebruiker aangeleverd worden, maar moet op basis van artikelnummers server sided opgevraagd worden, en dat bedrag stuur je dan naar iDeal.
Het is natuurlijk fout van de studenten in kwestie, maar van dezelfde orde als je fiets zonder slot naast de bushalte neerzetten...
