De gewraakte Mifare-chip van NXP kent noch in de Shell Easypay-pas noch in de Rotterdamse mobiele portemonnee Payter enige kwetsbaarheden. Zo blijkt nu. Webwereld las mee op DeKoopman, belde met Shell en kan een geruststellend bericht melden aan Easypay-tankers. Mijn gewaardeerde collega Tonie belde met Payter en hoorde dat mobiel betalen niet gevaarlijk is.
Archive for the ‘Betalen’ Category
Rotterdamse 06-portemonnee en Shell-kaart veilig
Thursday, January 10th, 2008Behalve OV-chipkaarten te hacken ook die van Shell en Payter 06-portemonnee?
Wednesday, January 9th, 2008
“De veiligheid van de ov-chipkaart, het vervoersbewijs dat de strippenkaart zal vervangen, is in het geding. Duitse hackers hebben de geheime code gekraakt van de chip die in de kaart is verwerkt. Voor Rop Gonggrijp, Nederlands bekendste hacker, en initiatiefnemer van de actie tegen stemcomputers, zijn de gevolgen duidelijk: ‘Deze chipkaarttechnologie is weg, stuk, niet meer te gebruiken.’ (…)”
Zo luidde gisteren een bericht in de Volkskrant dat de media vervolgens twee dagen bezig hield. Uit een betrekkelijk simpele analyse, die je enkel hier op DeKoopman.net leest, blijkt dat ook Shells internationaal gebruikte betaalsysteem Easypay en de Rotterdamse mobiele portemonnee Payter de gewraakte chiptechnologie gebruiken. Kunnen we binnenkort gratis tanken en winkelen?
Eerst wat voorgeschiedenis. Kort voor de jaarwisseling vond in Duitsland de jaarlijkse bijeenkomst van de Duitse Chaos Computer Club (CCC) plaats, een hackersbijeenkomst. Geen dieven, spywaremakers of spammers, maar veelal white hat hackers. Slimmeriken die gaten in systemen zoeken.
Tijdens de laatste presentatie van die bijeenkomst lieten Karsten Nohl en Henryk Plötz zien hoe ze met apparatuur ter waarde van een paar honderd euro de zogeheten Mifare-chip hebben weten te kraken. En laat dat nu net de chip zijn die wij in ons OV-chipkaarten verwerken. Gevolg: slimme malafide hackers zouden - in theorie - de kaarten onbeperkt op kunnen waarderen en, dus, altijd gratis kunnen reizen.
De Mifare-technologie wordt gebruikt voor RFID-toepassingen (vgl. digitale barcode op basis van radiogolven) en is ontwikkeld door het bedrijf NXP. NXP was tot voor kort een dochterbedrijf van Philips. De reactie van collega-hackers op het werk van Nohl en Plötz laat niets te wensen over. “That is fucking awesome“, is vrij eenduidig uit te leggen als ‘briljant gedaan.’
Meer in het bijzonder zouden de krakers de zogeheten Mifare Classis-technologie hebben gekraakt.
Op de website van NXP valt over Mifare Classic te lezen waar deze technologie nog meer gebruikt wordt:
(…) MIFARE® classic products are also used for payment in other transport applications, e.g. Electronic Toll Collection via an On-Board Unit or via Stop-and-Go payment with contactless card readers at toll booths; parking meters or access to car parks; airline frequent traveler cards with Lufthansa and Air France and payment for fuel at gas stations (Shell Easypay). (…)
Behalve in de sleutelhanger van Shell Easypay zit de Mifare-technologie ook in minstens één type Nokia-telefoon verwerkt: de Nokia 6131 (CTRL-F op Mifare). Het doel daarvan is om de telefoon draadloos te laten communiceren op afstanden van enkele decimeters met gespecialiseerde kastjes om data te versturen en ontvangen. In Rotterdam wordt het toestel bijvoorbeeld gebruikt als 06-portemonnee. Wie geld voorstort op zijn mobieltje, via het bedrijf Payter, kan in het centrum van de havenstad betalen bij verscheidene grote winkelketens door zijn telefoon langs de kassa te zwaaien. Het bedrijf heeft landelijke ambities.
Het lijkt er dus op, dat behalve de OV-chipkaart ook de pomppassen van Shell en toekomstige vervanging van de portefeuille behoorlijk kwetsbaar zijn. Het heeft er op zijn minst de schijn van weg. Aangezien er meerdere smaakjes Mifare-technologie bestaan, staat het niet vast dát genoemde toepassingen te hacken zijn.
Ik heb NXP aan het einde van de middag gevraagd of de chip die de Duitsers onder handen namen van hetzelfde type is als die in de Shell- en Nokia-spullen. Nog geen reactie.
Gisteren liet het bedrijf via een persbericht weten:
“(…) De chip in kwestie behoort tot een familie van IC’s voor contactloze kaarttoepassingen maar is niet – zoals foutief wordt voorgesteld in de presentatie – bedoeld voor ePassport, traditionele banktoepassingen of de beveiliging van auto’s. (…) het werk om een deel van het cryptografische algoritme te achterhalen is verricht door zeer deskundige onderzoekers, die daar een aanzienlijke periode aan bezig zijn geweest. Naar verluidt hebben deze enorme inspanningen tot het achterhalen van een deel van het algoritme geleid. Een ander element van de beveiliging van de chip – de sleutels – is niet achterhaald. Bovendien moet men zich realiseren dat die sleutels niet voor alle kaarten identiek zijn. (…)”
De krakers hielden tijdens hun presentatie echter ook nog een paar slagen om de arm: ze presenteerden slechts een deel van hun bevindingen en specificaties. Ze beloofden meer data te publiceren in de loop van 2008.
Bekijk hier de volledige presentatie van Karsten Nohl en Henryk Plötz:
De Nederlander die de introductie van het hackduo verzorgt, is de Nederlander Brenno de Winter. Hij schreef op 2 januari al dit verhaal op Webwereld.
2dehands lanceert Paydutch escrow in België
Monday, December 17th, 2007
PayDutch Group lanceert met posterijbedrijf TNT de dienst Pay & Deliver op de Belgische markt. Handelssite 2dehands.be wordt ingezet als lanceringsvehikel, om de dienst breed onder de belangstelling te brengen van kopers en verkopers. Zij betalen elk 1 euro om de escrowdienst te gebruiken.
Uit het persbericht:
“(…) In elke advertentie kan door een koper met één druk op de knop ‘koop nu’ de pay&deliver service gestart worden (vergelijk betalen winkelwagentje bij webshop). Voor de Pay module is PayDutch Group verantwoordelijk. Zij biedt in Nederland de laagdrempelige escrow service “PayDutch” aan op o.a. 2dehands.nl en Speurders.nl. Koper kan op deze wijze ook P2P betalen met credit card en Mr Cash / BanContact (de Belgische iDEAL variant).
TNT Post is verantwoordelijk voor de delivery module. De verkoper betaalt in deze module online voor zijn pakket en kiest vervolgens uit twee formules. Met drop&deliver, een samenwerking met Kiala, geeft de verkoper het pakket verzendklaar af bij één van de Kiala punten. TNT Post zorgt vervolgens voor de bezorging. Een andere mogelijkheid is de haal- en brengservice van TNT Post: collect&deliver.Bij gebruik van pay&deliver wordt de zending altijd met handtekening voor ontvangst afgeleverd. Bovendien kan via de online track & trace de status van de zending worden gevolgd via www.payanddeliver.be. Koper en verkoper worden via sms en email van elkaars verrichtingen op de hoogte gehouden. Een gratis geschiloplossing door een bindend adviseur completeert dit full service concept. (…)”
Zie ook: ‘Fortis met goedkope escrowdienst‘ (18052006)
Paypal lanceert virtuele kredietkaart, open voor alle winkeliers
Monday, November 19th, 2007
Webwinkels die geen Paypal ondersteunen, kunnen vanaf morgen toch betalingen van Paypal-klanten ontvangen. Persbureau Reuters meldt dat de eBay-dochter op het punt staat een zogeheten ‘Secure Card‘ op de markt te brengen. Dat is een Paypal-dienst die een soort virtueel credit card-nummer genereert waarmee de consument een betaling kan verrichten.
Het lijk erop dat Paypal Secure Card een directe concurrent wordt van Googles internetkassa Checkout. De in juni 2006 gelanceerde betaaldienst van Google werkt als een soort intermediair tussen webwinkel en klant. Anders dan Paypal ontwikkelde Google niet zelf een betaalsysteem, maar knoopt de bestaande systemen aan elkaar en maakt ze via één interface toegankelijk.
Reuters’ verhaal maakt duidelijk dat Secure Card werkt als een plug-in op de web browser, een kunstmatige omweg.
“(…) “Secure Card has been tested by 3 million PayPal customers in the past year. The plug-in will be available to U.S. customers on Tuesday, with international customers to follow.
When a PayPal customer wants to pay for something on a site that doesn’t normally accept PayPal payments, users click a downloaded PayPal button on their browsers to generate a unique, single-instance Secure Card transaction number. (…)
By residing on the PayPal user’s computer, Secure Card can detect when users visit e-commerce sites. The software then automatically fills in their stored financial information, requiring just a few more clicks to authorize a transaction.
PayPal stores no details on the local computer for security reasons. Instead, it logs Secure Card activity in the user’s account on central computers for safety and record-keeping. ” (…)”
Paypal heeft naar schatting ruwweg 300.000 actieve Paypal-gebruikers. Google begon in april met een ‘zachte uitrol‘ van Checkout in Europa.
Speurders.nl genomineerd voor TechnoPartner Award
Wednesday, September 26th, 2007Vandaag is in Wassenaar de finale van de TechnoPartner Award 2007. TechnoPartner is een initiatief van de ministeries van EZ en OC&W om starters met technische producten, diensten of ideeën op de markt te helpen komen.
Bij de prijsuitreiking is het niet Speurders.nl zelf dat genomineerd is, maar diens partner PayDutch. De Award is namelijk bedoeld om aandacht te vestigen op het belang van een goede launching partner/customer voor starters.
PayDutch (eerdere berichten) is een initiatief dat, met financiering van Fortis, veilig onderling betalen op internet mogelijk moet maken.
ChipKnip vertrekt met de stille trom
Thursday, September 20th, 2007
Het is over en uit voor de Chipknip, laat de beheerder van het Nederlandse betalingsverkeer Currence weten.
“(…) ‘Het zou te ver gaan om te zeggen dat de chipknip dood is, want het aantal betalingen groeit nog steeds’, zegt directeur Piet Mallekoote van Currence. ‘Maar de miljarden transacties die we ooit voor ogen hadden, halen we nooit.’
Currence wil de chipknip ‘herpositioneren’ als betaalmiddel voor onbemande verkooppunten.
(…) Van de jaarlijks 165 miljoen transacties per chipknip wordt slechts een vijfde in winkels verricht (…)”
Google patenteert betalen per sms
Wednesday, September 5th, 2007
(bron)
Naar nu blijkt heeft Google eind vorige maand een patent toegewezen gekregen op ‘betalen met de mobiele telefoon’, per sms (link). Dat er een patent is, houdt niet automatisch in dat het technologiebedrijf ook daadwerkelijk een product aan het ontwikkelen is. Google-volger Garett Rogers kon althans geen directe aanwijzingen daartoe vinden.
Hij omschrijft de werking van het systeem:
“(…) the user of [Gpay] may want to send twenty dollars to a friend whose mobile number is 850-555-1212. The user may thus type and send the following text message: gpay 8505551212 20 to the Google text message address of GOOGL (46645), or to another address. (…)“
Nieuw is het concept mobiel betalen niet. De mondiale mobiele branchevereniging 3GSM wil proeven met deze techniek stimuleren, al was het maar om in onderontwikkelde gebieden een betaalinfrastructuur op te tuigen. Immers, banken zijn er niet veel in sloppenwijken maar mobieltjes wel. Dichterbij huis vinden de eerste proeven met mobiel-betalen al plaats bij een C1000 en in het centrum van Rotterdam. En natuurlijk zit de Rabobank ook op dit terrein op het vinkentouw.
Wat vast staat, is dat er Google veel aan gelegen is een grote rol te spelen op mobiel internet. Al enige tijd doen geruchten de ronde als zou Google een mobiele telefoon of besturingssysteem of middleware ontwikkelen. Weblogger Om Malik somt op welke feiten er inmiddels bekend zijn rondom dit apparaat annex softwarepakket.
Zie ook op Emerce de berichtgeving rondom Googles wel/niet plannen om op mobiele frequenties te bieden: ‘Contouren Googles mobiele plannen tekenen zich af‘ (030807)
En, afsluitend, een kleine plug voor mijn bezoekje aan Googles in aanbouw zijnde nieuwe datacentrum in Groningen. Klik hier voor veel foto’s.
‘Meer omzet met onderzoeken kredietwaardigheid’
Monday, August 20th, 2007
Experian, kenner van consumentengedrag en economische trends, deed een onderzoek naar betaalwensen onder ruim 400 internetbedrijven. Het bedrijf stelt dat winkeliers hun omzet aanzienlijk kunnen vergroten als zij klanten op rekening laten betalen. De claim luidt: 20 tot 50 procent meer omzet.
Enkele conclusies uit het onderzoek (gekopieerd uit een persbericht)
- Meer dan de helft (57%) van de internetbedrijven wil op rekening leveren als dit uitsluitend aan kredietwaardige klanten kan.
- Meer dan de helft van de webwinkels (54%) wil op rekening leveren indien de betalingen gegarandeerd zijn.
- Grotere online winkels (> 500 transacties per maand) leveren relatief vaker op rekening en gebruiken eigen scoringsmodellen (20% van het totaal) voor de risicobeoordeling./
- Vooral grote webwinkels overwegen alternatieve betaalopties om meer omzetgroei te realiseren.
- Fraude komt vaker voor bij lagere bedragen en 22,1% heeft (soms) met fraude te maken.
Tegen het einde van het persbericht komt de aap uit de mouw. Natuurlijk is dit onderzoek geen liefdadigheid van Experian. Het bedrijf wil ondernemers wijzen op zijn kredietwaardigheidsonderzoeken/-database. Ondernemers doen zichzelf en Experian een plezier 
door dit systeem te koppelen aan de internetbestelmodules.
iDeal-lek in Oscommerce-platform
Friday, August 10th, 2007Het webwinkelplatform OScommerce, een open source-pakket, heeft een lek in de digitale kassa. Dat bevestigt iDeal tegenover IT-uitgave Webwereld:
“(…) Dat heeft de e-commerce servicedesk van Ideal per e-mail aan klanten laten weten. De bank benadrukt dat het risico zich niet voordoet in de Ideal-omgeving zelf, maar in de betaalmodule Ideal van webwinkelplatform Oscommerce. Volgens Ideal is het echter mogelijk dat ‘ook andere betaalmodules binnen andere webwinkelplatformen hetzelfde risico hebben’.
Ideal-gebruikers zien voorafgaand aan een Ideal-betaling een scherm met een orderbevestiging. Een kwaadwillende consument is erin geslaagd de parameter waarmee dit bevestigingsscherm wordt opgebouwd, te wijzigen. Dezelfde parameter wordt gebruikt bij het de betalingsopdracht van Ideal aan de bank, waardoor het te betalen bedrag zowel in het orderbevestigingsscherm als in de banktransactie werd gewijzigd. (…)”
Webwinkels wordt aangeraden om de betaalmodule in hun systeem te controleren. Ondernemers wordt tevens aangeraden het betaalde bedrag te controleren voordat ze het product daadwerkelijk uitleveren.
Paypal direct via de NL bankrekening te gebruiken
Friday, July 20th, 2007Dat meldt althans Z24, het gezamenlijke initiatief van het FD en RTL7:
“(…) Maar Paypal heeft een sprong gemaakt richting iDeal. Sinds een paar dagen kunnen PayPal klanten direct via hun bankrekening betalen. Daarvoor was het alleen maar mogelijk met een van tevoren gestort tegoed via credit- of debitcard. Het is nu met één autorisatie mogelijk om geld over te maken, zowel nationaal als internationaal. (…)”