M-Payment für Internet-Content mit Anlaufschwierigkeiten

Findige Kunden können den Preis für einige Mobile-Payment-Angebote selbst festlegen.

In Pocket speichern vorlesen Druckansicht 28 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Urs Mansmann

Der Einsatz des Mobile-Payment-Verfahren anstelle von Dialern ist offenbar mit der heißen Nadel gestrickt. Bei einigen Angeboten des Content-Providers Mainpean lässt sich der Bezahl-Link in der URL bei Benutzung mit bestimmten Browsern manuell ändern -- statt für 9,99 Euro alle 3 Tage erhält ein Kunde durch Änderung der angezeigten URL den Zugriff etwa wahlweise auch für 1,99 Euro alle 7 Tage.

Beim Angebot Vornamen.de -- inhaltlich nahezu vollkommen deckungsgleich mit der kostenlosen Seite Vornamen.ch -- beispielsweise reicht es aus, den angezeigten Link http://hpabo.service-url.de/?tarif=108&account=vnn-10003 in einem einzigen Punkt zu verändern, indem man den String tarif=108 durch tarif=102 oder eine andere beliebige Zahl zwischen 101 und 110 ersetzt. In der dann fälligen SMS wurde uns in einem Test mit dem Browser Firefox der günstigere Tarif bestätigt und der Zugriff auf die Bezahl-Inhalte ermöglicht. Nach Angaben des zuständigen Anbieters Netpayment will Mainpean diese Panne schleunigst beheben.

Die unzureichende Absicherung ermöglicht einen detaillierten Einblick in das Preismodell von Mainpean: Möglich sind offenbar vier Preisstufen von 1,99, 3,99, 4,99 und 9,99 Euro und Abo-Laufzeiten von 3 oder 7 Tagen sowie zusätzlich 30 Tagen für die beiden höchsten Preisstufen. Bisher konnte der jeweilige Content-Anbieter durch Auswahl des passenden Links den Preis selbst flexibel festlegen, was aber auch zu der zitierten Sicherheitslücke führte. Für den Kunden hat die Panne keine negativen Auswirkungen: Der in der URL eingestellte Tarif und damit der später über die Mobilfunkrechnung tatsächlich erhobene Preis wird per SMS mitgeteilt; der somit möglicherweise niedrigere als eigentlich vorgesehene Preis ist zudem durch Eingabe des übersandten Codes zu bestätigen. Dieser Teil des Systems lässt sich nicht manipulieren. (uma)