mboost-dp1
Webshop fejl - kriminelt.
Hej folkens.
I dag sad jeg og kiggede lidt efter en ny telefon. For at gøre en lang historie kort, så opdagede jeg en fejl i en webshop der gør at jeg kan give mig selv en valgfri rabat. Ja selv en galaxy s3 til 900,-.
Jeg gik igennem hele købsprocessen og valgte så at stoppe ved betalingsvinduet. Men jeg har sgu lyst til at prøve at købe telefonen og se hvad der sker. Er det en dårlig ide?
Du har dårlig moral - Du er en fusker - Du er en idiot - ta' dig sammen. Så har jeg skrevet det, så behøver i ikke ;)
I dag sad jeg og kiggede lidt efter en ny telefon. For at gøre en lang historie kort, så opdagede jeg en fejl i en webshop der gør at jeg kan give mig selv en valgfri rabat. Ja selv en galaxy s3 til 900,-.
Jeg gik igennem hele købsprocessen og valgte så at stoppe ved betalingsvinduet. Men jeg har sgu lyst til at prøve at købe telefonen og se hvad der sker. Er det en dårlig ide?
Du har dårlig moral - Du er en fusker - Du er en idiot - ta' dig sammen. Så har jeg skrevet det, så behøver i ikke ;)
Det er strafbart nu?..
Du har nemlig offentliggjort dine hensigter - dvs at du VED at det er en fejl, men du vil gøre det alligevel..
Det betyder kort og godt at du gør det i ond tro, og derfor er det strafbart :)
- havde du derimod bage set det som et knaldtilbud, og ikke havde skrevet herinde (eller på andre fora) at det er en fejl - ja så var det i "god tro", og så havde det været helt legalt :)
Du har nemlig offentliggjort dine hensigter - dvs at du VED at det er en fejl, men du vil gøre det alligevel..
Det betyder kort og godt at du gør det i ond tro, og derfor er det strafbart :)
- havde du derimod bage set det som et knaldtilbud, og ikke havde skrevet herinde (eller på andre fora) at det er en fejl - ja så var det i "god tro", og så havde det været helt legalt :)
Jo da! Du skal jo skrive dine oplysninger i ordren, Hr. Stein Bagger født d. 25. Januar 1900 fra Lyngby.
Jeg synes en Galaxy S3 er en rimelig betaling for at gøre en butik opmærksom på en fejl af den karakter. Det er de færreste butikker som er enige i at de bør give en belønning til personer som opdager fejl og gør dem opmærksomme på dem.
Min fornemmelse er at selv hvis man handler helt efter bogen og intet ulovligt gør, så er der stadigvæk større sandsynlighed for at man bliver mødt med et sagsanlæg end der er for at man får en belønning.
Og den mangel på velvilje overfor personer som opdager sikkerhedshuller og rapporterer dem ansvarligt er nok en af de største trusler imod IT sikkerhed i almindelighed, da det flytter personer som ellers kunne have hjulpet på at forbedre sikkerheden over til at i stedet tænke over hvordan de kan udnytte hullerne.
At udnytte et hul som du beskriver det, er efter min opfattelse både moralsk forkert over ulovligt.
Hvis du mener du fortjener at få den pågældende telefon gratis eller meget billigt, så er følgende fremgangsmåde efter min opfattelse moralsk forsvarligt. Det er nok stadigvæk tvivlsomt om det vil være lovligt, så hvis du følger metoden og bliver sagsøgt, så er det en risiko du selv har valgt at løbe.
1. Klargør en email hvor du forklarer sikkerhedshullet og præcist hvordan det udnyttes. Fortæl samtidigt at du har gennemført en demonstration med din egen adresse som modtager, og angiv ordrenummer (udfyldes senere). Opfordr dem samtidigt til at de som tak for hjælpen lader ordren blive gennemført.
2. Start logging af din netværkstrafik til brug for efterfølgende dokumentation. Bemærk at du nok har brug for både low level dump på pakkeniveau og high level dumps vha. af en browser extension fordi low level dump i høj grad vil være krypteret.
3. Gennemfør metoden og noter ordrenummeret.
4. Sæt ordrenummeret ind i email og send den øjeblikkeligt.
Det er vigtigt at du har dokumentation for at du har sendt den pågældende email. Et komplet pakketrace af SMTP sessionen som viser at den er afleveret direkte til mx for det pågældende domæne er den bedste dokumentation man kan have for at man har sendt den pågældende email.
Om metoden ovenfor er lovlig ved jeg ikke, men jeg synes personligt at det burde være lovligt. Moralsk set er det selvfølgeligt bedre at blot gøre butikken opmærksom på fejlen og håbe på at de af sig selv kan finde ud af at give en passende belønning. Men erfaring siger at de sandsynligvis vil vælge at sylte sagen og gemme dit navn sådan at de har nogen at sagsøge hvis der skulle ske misbrug engang i fremtiden.
Min fornemmelse er at selv hvis man handler helt efter bogen og intet ulovligt gør, så er der stadigvæk større sandsynlighed for at man bliver mødt med et sagsanlæg end der er for at man får en belønning.
Og den mangel på velvilje overfor personer som opdager sikkerhedshuller og rapporterer dem ansvarligt er nok en af de største trusler imod IT sikkerhed i almindelighed, da det flytter personer som ellers kunne have hjulpet på at forbedre sikkerheden over til at i stedet tænke over hvordan de kan udnytte hullerne.
At udnytte et hul som du beskriver det, er efter min opfattelse både moralsk forkert over ulovligt.
Hvis du mener du fortjener at få den pågældende telefon gratis eller meget billigt, så er følgende fremgangsmåde efter min opfattelse moralsk forsvarligt. Det er nok stadigvæk tvivlsomt om det vil være lovligt, så hvis du følger metoden og bliver sagsøgt, så er det en risiko du selv har valgt at løbe.
1. Klargør en email hvor du forklarer sikkerhedshullet og præcist hvordan det udnyttes. Fortæl samtidigt at du har gennemført en demonstration med din egen adresse som modtager, og angiv ordrenummer (udfyldes senere). Opfordr dem samtidigt til at de som tak for hjælpen lader ordren blive gennemført.
2. Start logging af din netværkstrafik til brug for efterfølgende dokumentation. Bemærk at du nok har brug for både low level dump på pakkeniveau og high level dumps vha. af en browser extension fordi low level dump i høj grad vil være krypteret.
3. Gennemfør metoden og noter ordrenummeret.
4. Sæt ordrenummeret ind i email og send den øjeblikkeligt.
Det er vigtigt at du har dokumentation for at du har sendt den pågældende email. Et komplet pakketrace af SMTP sessionen som viser at den er afleveret direkte til mx for det pågældende domæne er den bedste dokumentation man kan have for at man har sendt den pågældende email.
Om metoden ovenfor er lovlig ved jeg ikke, men jeg synes personligt at det burde være lovligt. Moralsk set er det selvfølgeligt bedre at blot gøre butikken opmærksom på fejlen og håbe på at de af sig selv kan finde ud af at give en passende belønning. Men erfaring siger at de sandsynligvis vil vælge at sylte sagen og gemme dit navn sådan at de har nogen at sagsøge hvis der skulle ske misbrug engang i fremtiden.
#12 Du har nogen rigtige gode pointer og jeg er enig. Jeg tror bare ikke den fremgangsmåde ville falde i god jord hos firmaet.
Det ville jo svare til at sige
jeg har pillet lidt ved jeres webshop og købt mig en meget billig telefon. Giver i mig den nu når jeg gjorde opmærksom på det
Hvis jeg var et ordenligt menneske og skrev og gjorde dem opmærksom på det, ville jeg jo sikkert få et svar tilbage i stil med.
Bla Bla Bla, tak fordi du gjorde os opmærksom på det.
Jeg kan jo ikke forlange en telefon før jeg fortæller fejlen. De kan jo bare retten fejlen, og skrive tilbage at fejlen ikke var af alvorlig karakter.
Det ville jo svare til at sige
jeg har pillet lidt ved jeres webshop og købt mig en meget billig telefon. Giver i mig den nu når jeg gjorde opmærksom på det
Hvis jeg var et ordenligt menneske og skrev og gjorde dem opmærksom på det, ville jeg jo sikkert få et svar tilbage i stil med.
Bla Bla Bla, tak fordi du gjorde os opmærksom på det.
Jeg kan jo ikke forlange en telefon før jeg fortæller fejlen. De kan jo bare retten fejlen, og skrive tilbage at fejlen ikke var af alvorlig karakter.
Det er jo lige netop det der er problemet. Når de fleste virksomheder ikke giver et eneste incitament til at informere dem om svagheder, og ofte gør livet surt for personer som er venlige nok til at rapportere sikkerhedshuller, så er det klart at man begynder at spekulere i hvordan man kan udnytte dem.vortex (13) skrev:Jeg tror bare ikke den fremgangsmåde ville falde i god jord hos firmaet.
Der er enkelte virksomheder som går den rigtige vej ved at udlove dusører for at rapportere sikkerhedshuller. Det har jeg også selv til hensigt at gøre når jeg sender et produkt på markedet.
#1: Så vidt jeg erindrer, skriver butikker ofte på deres hjemmesider (webshops specielt) at der tages forbehold for trykfejl og mangler hvilket jeg tror vil dække din situation; En tydelig fejl har tilladt dig at se en anden pris end den, butikken sælger produktet til.
Så jeg tror ikke det er ulovligt, jeg tror blot de vil fange den i deres system og rette den. Hvis ikke de gør, er det deres fejl.
Når det er sagt er jeg enig med #12. Du bør lave en test-bestilling hvori du gør dem opmærksom på problemet. Dog synes jeg ikke du skal opfordre dem til at give dig noget for det.
Tilgengæld kan du bede dem om lov til at bruge eksemplet til jobinterviews og skrive om det på f.eks. en blog eller lignende... Medmindre de da har en anden form for kompensation. Det er lidt mere "underhændet" eller "professionelt". Og ih guder, hvor jeg hader det. :p
Så jeg tror ikke det er ulovligt, jeg tror blot de vil fange den i deres system og rette den. Hvis ikke de gør, er det deres fejl.
Når det er sagt er jeg enig med #12. Du bør lave en test-bestilling hvori du gør dem opmærksom på problemet. Dog synes jeg ikke du skal opfordre dem til at give dig noget for det.
Tilgengæld kan du bede dem om lov til at bruge eksemplet til jobinterviews og skrive om det på f.eks. en blog eller lignende... Medmindre de da har en anden form for kompensation. Det er lidt mere "underhændet" eller "professionelt". Og ih guder, hvor jeg hader det. :p
#6
Den holder kun hvis det ligner et knaldtilbud. Det med ond tro har vi etableret, men ser vi bort fra det gælder det at et tilbud ikke er bindende såfremt køber vidste eller burde have vidst at der måtte være tale om en fejl.
Fra mine jurafag kan jeg erindre vi fik at vide, at tilbuddet skulle være umanerligt lavt før det i praksis ikke ville være gyldigt (det har retspraksis vist).
Den holder kun hvis det ligner et knaldtilbud. Det med ond tro har vi etableret, men ser vi bort fra det gælder det at et tilbud ikke er bindende såfremt køber vidste eller burde have vidst at der måtte være tale om en fejl.
Fra mine jurafag kan jeg erindre vi fik at vide, at tilbuddet skulle være umanerligt lavt før det i praksis ikke ville være gyldigt (det har retspraksis vist).
#14 Nej det er ikke et teleselskab. Jeg skrev blot en telefon som priseksempel, da det var det jeg søgte efter. Men når du siger det sådan, må der jo også være en fejl på deres side. Noget du vil uddybe, eller skal vi selv på jagt?
#15 #16 Dusør er vejen frem, så ville folk sikkert slet ikke overveje at udnytte fejlen til egen vinding.
Derfor har jeg også skrevet en mail til firmaet, hvor jeg gør opmærksom på der er en fejl der muligvis kunne udnyttes af de forkerte typer (Som jo så ikke var mig alligevel)
Jeg har samtidig spurgt om "lov" til at lave en testordre for at bevise fejlen. Jeg henstillede samtidig til at ordren blev gennenført, som et tegn på god vilje fra deres side.
Jeg blev så ringet op af en, til at starte med, møgsur administrator. Han var mest obs på jeg ikke fortalte om fejlen eller firmaet til nogen. Han gik med til jeg lavede en testordre, men han kunne ikke love de ville gennemføre ordren. Så nu sidder jeg lige og prøver at finde ud af hvad jeg skal købe og til hvilken pris. Et 60" fjernsyn til 700,- går de nok ikke med til.
#15 #16 Dusør er vejen frem, så ville folk sikkert slet ikke overveje at udnytte fejlen til egen vinding.
Derfor har jeg også skrevet en mail til firmaet, hvor jeg gør opmærksom på der er en fejl der muligvis kunne udnyttes af de forkerte typer (Som jo så ikke var mig alligevel)
Jeg har samtidig spurgt om "lov" til at lave en testordre for at bevise fejlen. Jeg henstillede samtidig til at ordren blev gennenført, som et tegn på god vilje fra deres side.
Jeg blev så ringet op af en, til at starte med, møgsur administrator. Han var mest obs på jeg ikke fortalte om fejlen eller firmaet til nogen. Han gik med til jeg lavede en testordre, men han kunne ikke love de ville gennemføre ordren. Så nu sidder jeg lige og prøver at finde ud af hvad jeg skal købe og til hvilken pris. Et 60" fjernsyn til 700,- går de nok ikke med til.
Den er ret simpel.
De er skide sure og ikke taknemmelige. Derfor laver du en testodre til en fair (for dig og dem) pris. Får du ikke varen så lader du være med at fortælle dem hvor hullet er.
Det må være nok de ved der er et hul et sted, det er ikke dit problem hvis de skal bruge en masse penge på at finde det og få det lukket.
Hvis de ikke vil hjælpe dig, fordi du har hjulpet dem, så er der ingen grund til at hjælpe dem alt for meget.
Alt sammen fordi de vender møgsure tilbage, det er sgu ikke i orden.
De er skide sure og ikke taknemmelige. Derfor laver du en testodre til en fair (for dig og dem) pris. Får du ikke varen så lader du være med at fortælle dem hvor hullet er.
Det må være nok de ved der er et hul et sted, det er ikke dit problem hvis de skal bruge en masse penge på at finde det og få det lukket.
Hvis de ikke vil hjælpe dig, fordi du har hjulpet dem, så er der ingen grund til at hjælpe dem alt for meget.
Alt sammen fordi de vender møgsure tilbage, det er sgu ikke i orden.
Nu har jeg bestilt en Galaxy S3 til 2800,-. Det synes jeg faktisk er fair nok. Altsa jeg køber jo telefonen uanset om jeg så skal give fuld pris et andet sted.
Han vil ikke lade ordren gå igennem, før jeg har gjort opmærksom på fejlen. Hans mail bliver mere og mere aggressive. Han er sgu en idiot.
Det mest underlige er at det faktisk er en ret simpel/dum fejl. Hvis jeg linkede til siden, ville de fleste herinde nok kunne opnå samme rabat. Jeg fatter ikke at han ikke kan se problemet.
EDIT: Og nu har han så skrevet at han vender tilbage i løbet af weekenden, eller starten af næste uge. Nu går jeg stærkt ud fra han selv finder fejlen. Ellers er han da godt nok dårlig til sit job.
Han vil ikke lade ordren gå igennem, før jeg har gjort opmærksom på fejlen. Hans mail bliver mere og mere aggressive. Han er sgu en idiot.
Det mest underlige er at det faktisk er en ret simpel/dum fejl. Hvis jeg linkede til siden, ville de fleste herinde nok kunne opnå samme rabat. Jeg fatter ikke at han ikke kan se problemet.
EDIT: Og nu har han så skrevet at han vender tilbage i løbet af weekenden, eller starten af næste uge. Nu går jeg stærkt ud fra han selv finder fejlen. Ellers er han da godt nok dårlig til sit job.
#18, Hvis du er 3 kunde, og er medlem af 3bonus. Kan du via din 3 side bruge dine 3bonus point, når du vil bruge disse bliver de overført via URL'en(GET) til webshoppen. Så er det bare at ændre dem, og du for en større rabat. Sidste jeg legede med dem, kunne jeg få en iphone 4 eller en htc one x(eller hva den nu hedder) for 1 krone. Bestilte dog ikke noget, da jeg synes det er forkert at snyde på den måde, og sikkert også ulovligt.
starn (24) skrev:#18, Hvis du er 3 kunde, og er medlem af 3bonus. Kan du via din 3 side bruge dine 3bonus point, når du vil bruge disse bliver de overført via URL'en(GET) til webshoppen. Så er det bare at ændre dem, og du for en større rabat. Sidste jeg legede med dem, kunne jeg få en iphone 4 eller en htc one x(eller hva den nu hedder) for 1 krone. Bestilte dog ikke noget, da jeg synes det er forkert at snyde på den måde, og sikkert også ulovligt.
De har vel forhåbentligt noget tjek senere, og det de sender via GET bare er for at kunne fremstille det pænt for en bruger hvor mange point man kan bruge.
vortex (25) skrev:#23 Hans sure mails kommer når sagen er afsluttet.
http://files.sharenator.com/Op_will_surely_deliver...
Du kunne prøve at give dig selv "negativ" rabat, dvs. prisen bliver højere end normalt (hvis det er muligt).
Status er at jeg fik min Galaxy S3, dog til 3000,-. Jeg har dog ikke modtaget den endnu. Så tvivler på den overhoevdet kommer. Hullet er lukket og alle er glade. ;)
prøvede lige at gennemføre et salg på 3.dk med flere point end det jeg havde til rådighed. Den kommer med en fejl til sidst.
vortex (36) skrev:De kommer ligeså snart jeg har modtaget telefonen. Gider ikke risikere idioten måske kigger med. Man ved jo aldrig.
You fail at logic.. Hvis han kigger med her har han nok også læst at du poster det så snart telefonen ankommer, så hvad forskel gør det? :-P
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Tagwall
Gå til bund