QR-code op festivalsite Werchter eenvoudig te misbruiken
Nu ook Rock Werchter betalingen via een QR-code op het polsbandje hanteert, ontdekt ethisch hacker Inti De Ceukelaire dat het vrij eenvoudig is om transacties te bekijken, en naar iemand anders te laten terugstorten.
Wie afgelopen weekend naar Bruce Springsteen op TW Classic of Pink en One Republic op Werchter Boutique ging kijken, kreeg een festivalbandje met RFID en een QR-code. Die eerste dient om de toegang te valideren en wordt al enkele jaren gebruikt. De QR-code is nieuw op de festivalweide en maakt dat je zonder bonnetjes of cash kan betalen. Live Nation werkt hiervoor samen met het Antwerpse Weezevent, dat voor cashless betalingen haar dienst Weezpay heeft.
Foto’s op sociale media
Maar de beveiliging daarvan laat te wensen over, ontdekt De Ceukelaire. In een blogpost legt hij uit hoe die code zelf volstaat om iemands transactiegeschiedenis te zien. Dat kan ter plekke als je iemands pols zou fotograferen, maar De Ceukelaire waarschuwt ook voor foto’s op social media waar de code zichtbaar is.
Meekijken hoeveel pintjes iemand bestelt is misschien niet het grootste privacydrama, maar je kan ook resterend krediet laten terugstorten. Dat gebeurt via een unieke code op de achterkant van je festivalbandje en is in principe niet zo makkelijk leesbaar of fotografeerbaar. Maar De Ceukelaire ontdekte dat de QR-code die code ook prijsgeeft.
Festivalgangers kunnen dat voorkomen door zichzelf online te registreren en de code op hun polsbandje aan hun account te koppelen. Maar wie dat niet doet, riskeert dat iemand anders dat doet en zo met het resterende bedrag gaat lopen.
Bandje, en drankkrediet, overnemen
De Ceukelaire wijst ook op mogelijk misbruik op het festival zelf. Iemand zou een account kunnen aanmaken, op basis van een foto je polsbandje claimen en vervolgens een nieuw bandje vragen en daarbij jouw drankkrediet overnemen.
Live Nation, de organisatie achter de concerten op de festivalweide van Werchter, reageert intussen via Belga dat het geen weet heeft van fraude met de festivalbandjes. De vraag is of dat nu wel zal gebeuren nu bekend is dat het relatief eenvoudig is.
Of de procedure nog wordt aangepast voor het vierdaagse festival Rock Werchter volgende week is niet duidelijk. Wel heeft de organisatie intussen op haar site staan dat je beter geen foto’s van de QR-code deelt op sociale media en best op voorhand registreert.
Fout opgemerkt of meer nieuws? Meld het hier