[nosnaj]

Fast att läsa av ett kort och manipulera känns väl lagom lagligt?

[WizKid]

Citat:

Originally posted by nosnaj@Jun 5 2007, 22:23
Fast att läsa av ett kort och manipulera känns väl lagom lagligt?

Fast det han gjort är att kopiera sitt egna kort till ett annat av sina kort.

[nosnaj]

Citat:

Ursprungligen postat av WizKid

Citat:

Fast det han gjort är att kopiera sitt egna kort till ett annat av sina kort.

Är det lagligt göra så då?
Jag kan inga regler, bara tycker det verkar dumt ens testa

[acidflash]

Vi får se i slut ändan när domen faller om det var lagligt eller inte att använda sina egna pengar på ett "nytt" kort.

[Schneaker]

Jag filar på ett betänkande, kan posta det här också när det är klart.
Tro mig, vi funderade igenom det här innan, och visst är det lite PR-kupp över det hela, men mestadels är det faktiskt "för skojs skull". Jag ville se om det funkade, det gjorde det

[robertsson]

Jag kan inte tänka mig att korttransaktionen i sig var något lagbrott, Johan har inte blåst nån på pengar bara "flyttat sina pengar till ett annat kort".

Däremot skulle det eventuellt kunna handla om uppvigling, men det är ytterst tveksamt tycker jag.

Grattis till publiciteten Johan!

[palmik]

Det var kvällens skratt

[hoxon]

Jag tycker också det var roligt

Skall bli intressant att följa utvecklingen....

[Schneaker]

Ursäkta den röriga formatteringen och den något svårlästa texten, men klockan är mycket


Åhlénsaffären - betänkande


Fanns det några reella risker att Åhléns eller Åhléns kunder kunde lida skada av det vi gjorde?
Åhléns kan inte direkt förlora några pengar, eftersom bedrägeriet endast kan riktas mot kunder, först i andra hand kan Åhléns förlora pengar genom ersättning mot kund.
Risken att en ovetande kund skulle ta vårt planterade kort bedömde vi som obefintlig, eftersom vi antecknat numret på kortet och dessutom märkt ut det med ett uppvikt hörn. I det fall Henrik inte skulle hitta rätt kort i kassan skulle vi ha avblåst försöket och förstört vårt kopierade kort.
Risken att vi skulle åsamkat någon skada är alltså obefintlig.

Risken att någon av våra besökare skulle kunna åsamka någon skada:
För att bedrägeriet ska vara möjligt att genomföra krävs att två krav är uppfyllda
* Presentkorten måste vara lättillgängliga, både att plocka ner och att hänga upp igen
* Personalen får inte kontrollera nummret på magnetremsan mot det tryckta numret på kortet

Åhléns har nu plockat ner presentkorten bakom disk, de bör ha gjort detta omedelbart efter att mitt mail nådde dem. Än så länge kontrollerar man inte kortnumren.
Om Åhléns höll huvudet kallt skulle de plocka ner korten senast måndag lunch, det utgick vi från. En potentiell brottsling skulle alltså ha haft från fredag lunch fram tills måndag lunch på sig att plantera ut korten, max. Att på den tiden hinna få tag i en kreditkortsskrivare, sätta sig in i hur den fungerar, hämta hem kort, kopiera och plantera ut dessa och vänta på att någon köper presentkorten. Det är en arbetsdag och två helgdagar.
En person som inte har en kortläsare och inte har använt en innan skulle inte hinna detta. Den som redan ägnat sig åt kortbedrägerier innan skulle inte göra sig mödan.
Det är helt enkelt inte lönsamt att hålla på såhär:
* Kortskrivare är dyra, EzWriter som var den enda vi hittade kostar ungefär sex tusen kronor
* Processen är bökig och jobbig, med kort som ska placeras ut
* Det är ovisst om, och hur mycket pengar som laddas på korten
* Man kan inte komma åt kontanter, utan endast handla produkter på Åhléns

Den som har tiden, energi, kunskapen och resurserna för att genomföra ett sånt här bedrägeri gör det inte för att komma över en handduk eller två par kalsonger, utan snarare för att det är roligt och spännande - då testar man med egna pengar!

Slutsats
Risken att någon förlorar på att vi genomför bedrägeriet - obefintlig
Risken att någon annan genomför ett bedrägeri innan Åhléns åtgärdat sitt system - högst osannolik


Har vi begått något brott?

Bedrägeri:
-----------------------
Brottsbalken, 9 kap. Om bedrägeri och annan oredlighet

1 § Den som medelst vilseledande förmår någon till handling eller
underlåtenhet, som innebär vinning för gärningsmannen och skada för
den vilseledde eller någon i vars ställe denne är, dömes för bedrägeri
till fängelse i högst två år.


För bedrägeri döms också den som genom att lämna oriktig eller
ofullständig uppgift, genom att ändra i program eller upptagning eller
på annat sätt olovligen påverkar resultatet av en automatisk
informationsbehandling eller någon annan liknande automatisk process,
så att det innebär vinning för gärningsmannen och skada för någon
annan. Lag (1986:123).
-----------------------

Andra stycket där skulle kunna vara intressant. Jag påverkade resultatet av en automatisk process så att att det medförde vinning för mig och skada för Henrik. Så verkar det i alla fall vid första anblicken, jag vet inte hur det är om Henrik ger sitt medgivande. Antagligen är det så att målsägande (Henrik) måste påtala brottet för att det ska kunna utredas.
Det spelar i vilket fall ingen roll, eftersom presentkortet Henrik köpte aldrig tillhörde honom, då han lånade 200kr i kontanter av mig för att köpa kortet.


Stöld:
-----------------------
8 kap. Om stöld, rån och andra tillgreppsbrott

1 § Den som olovligen tager vad annan tillhör med uppsåt att tillägna
sig det, dömes, om tillgreppet innebär skada, för stöld till fängelse
i högst två år.


2 § Är brott som i 1 § sägs med hänsyn till det tillgripnas värde
och
övriga omständigheter vid brottet att anse som ringa, skall för snatteri
dömas till böter eller fängelse i högst sex månader.
-----------------------

Då pengarna jag "tog" i själva verket tillhörde mig bör jag inte kunna dömas för stöld av pengar.
Däremot tog jag två presentkort från Åhléns, varav ett återlämnades. Värdet på ett tomt presentkort bör inte kunna överstiga många kronor. Men visst, jag har möjligtvis gjort mig skyldig till snatteri.


Urkundsförfalskning
-----------------------
Berör inte den här typen av förfaranden
-----------------------

Uppvigling
-----------------------
5 § Den som muntligen inför menighet eller folksamling, i skrift
som
sprides eller utlämnas för spridning eller i annat meddelande till
allmänheten uppmanar eller eljest söker förleda till brottslig gärning,
svikande av medborgerlig skyldighet eller ohörsamhet mot myndighet,
dömes för uppvigling till böter eller fängelse i högst sex månader.
-----------------------
Att i detalj beskriva hur brott begås är inte det samma som "uppmanar eller eljest söker förleda till brottslig gärning".

Jag har inte undersökt olaga intrång, renommésnyltning, upphovsrättsbrott eller några andra möjliga åtalspunkter.


Syftet med vårt agerande:
Vi ville i första hand testa det som en kul grej. Vårt jobb är så oreglerat att vi kan ägna oss åt sånt här på arbetstid.
I andra hand ville vi publicera det för att väcka intresse och få folk som läser, tycker det är häftigt och skickar vidare artikeln
I tredje hand ville vi ge en så verklig bild som möjligt om "riktig" hacking i verkligheten, att det inte bara händer på film eller i tidningarna, utan även här och nu.

Sen att det hamnade i aftonbladet och att det blev polisanmälan gör ju det hela till en trevlig PR-kupp, även om det inte var meningen.


Åhléns agerande:
Storföretag måste vara tjuriga och torra. Det står antagligen i deras policies och när de nyrekryterar folk som ska uttala sig i media eller har ansvar så ingår det antagligen i anställningsintervjun att man ska visa prov på torrhet och bitterhet. Men så är dom, storföretagen, när Hamsterpaj blir storföretag och jag får tjänstebil och åker på golflucnher ska jag också vara sur och torr. Inget märkvärdigt i det.

Men polisanmälan verkar lite förhastat, ska man visa på handlingskraft inför media tro? En snabb titt i lagboken visar ju att vi inte begått brott.

Det bästa är ändå citatet:
"Dels har vi vidtagit tekniska åtgärder som ska göra den här typen av bedrägeri omöjliga, säger Anders Lundkvist. Men exakt vad det är tänker vi inte berätta för någon. Det kan väl den där killen få fundera på själv."
Hade man varit helt säker på att man byggt ett säkert system så skulle man kunna tala om hur man gjort. En säker lösning går inte att ta sig förbi även om man vet hur den fungerar. Nu ger Åhléns sken av att inte vara helt hundra på sin nya lösning och håller tyst, så att ingen riskerar att upptäcka några brister.

Det påminner lite om Microsoft, som kör med "sluten källkod" och inte visar hur sina system fungerar i rädlsa för att någon ska hitta buggar. Jämför med Linux som är öppet och inte försöker dölja eventuella hål.
Och vi vet väl alla vilka som fått flest rubriker om stora säkerhetshål...

[j0han]

haha. klockrent! :-)