dinsdag, november 27, 2007

Spaar en word geplukt

Bij Bank Card Company hebben ze een actie "Spaar en Pluk" lopen waarbij je waardebons krijgt als je regelmatig met je kredietkaart betaalt. Om punten te sparen moet je je wel online inschrijven.

Wat ik niet begrijp is dat een bedrijf als BCC het in zijn hoofd haalt om bij die inschrijving het nummer van je kredietkaart te vragen in een Flash wizard in plaats van via een beveiligde SSL site. Je hebt dus nergens de garantie dat er encryptie zal gebruikt worden voor het versturen van je kredietkaartgegevens.

Onbegrijpelijk.

2 opmerkingen:

  1. Een Ethereal capture later blijkt dat ze het visanummer wel degelijk ter controle in plaintext oversturen. Waarschijnlijk uiteindelijk zelfs alle gegevens, maar ik ben niet tot aan het eind van de wizard geraakt met mijn testnummer.

    Bewijs (een paar veldjes zijn geredacteerd, maar ze doen dus een simpele SOAP-call over een ongeencrypteerde HTTP-sessie):

    POST /WS/BCC_LINK_VJZ.asmx HTTP/1.1
    Host: fe.bcc.proximity.be
    Referer: http://spaaractie.bcc.be/assets/swf/new/registratie.swf
    SOAPAction: "http://tempuri.org/BCC_FE/BCC_LINK_VJZ/CheckCard"

    <?xml version="1.0" encoding="utf-8"?>
    <SOAP-ENV:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/">
    <SOAP-ENV:Body>
    <CheckCard xmlns="http://tempuri.org/BCC_FE/BCC_LINK_VJZ">
    <MyCardNo>4012-8888-8888-1881</MyCardNo>
    </CheckCard>
    </SOAP-ENV:Body>
    </SOAP-ENV:Envelope>

    Niet alleen onbegrijpelijk maar onvergeefelijk.

    BeantwoordenVerwijderen
  2. Ik vind trouwens nergens op hun site een email adres. Enkel (betalende) telefoonnummers.

    BeantwoordenVerwijderen