SZÉP

2012.03.28. 16:20

Az index hozott le egy hírt, miszerint a nem rég bevezetett SZÉP kártyákkal komoly baj van biztonsági szempontból.

Az csak az egyik probléma, hogy bár pénzt költesz, nem kérnek PIN kódot; ez bizonyos bankkártyáknál is előfordul, persze ott sem helyes. A nagyobb gáz az, hogy a bizonylatra rányomtatják az egész (!) kártyaszámot lejárati idővel együtt (!) (meg a tulaj nevét, meg a kibocsátó nevét...). A "támadási vektor" tehát az, hogy elmész a plázába, kukázol magadnak egy ilyen blokkot, elböngészel a kedvenc webshopodba, és veszel magadnak valami szépet (már persze amit ezzel lehet venni).

Bár az online tranzakciókhoz a cvv-t is el szokták kérni (ami a kártyára van nyomtatva az aláírás mellé és elvileg sehol nem tárolják (bár láttunk mi már karón szaros palacsintás varjút)), de a BalaBites srácok tesztjei azt mutatják, hogy a cvv sokszor simán "elgépelhető", a tranzakció anélkül is teljesül.

A workaorund nagyjából annyi, hogy ne hagyd szét a cuccaidat meg a blokkjaidat.

Ez meg kincs: "Az egyik banknál elmondták, hogy nyolc éve hasonló biztonsági rendszerrel működnek az egészségpénztári kártyák, és eddig nem történt visszaélés. Azt pedig, hogy a kártyákon a teljes kártyaszám látható, azzal magyarázták, hogy enélkül az elfogadóhelyek képtelenek lennének azonosítani a tranzakciókat."

A bejegyzés trackback címe:

https://breach.blog.hu/api/trackback/id/tr114346057

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

ghost_____ 2012.03.28. 21:36:33

Erre azt tudom mondani, hogy volt már olyan nagy és sok pénzt kezelő cég, ahol a biztonsági vezető azt mondta, hogy náluk még nem történt soha semmilyen biztonsági incidens és nem is fog, ezért nincs szükségük semmilyen pentestre vagy hasolnlóra :)

_2501 2012.03.28. 23:23:42

@ghost_____: uh. most ez így elég sokkoló :SSS a biztonsági vezető... ez nagyon meredeken sötét. nade... ez ez... hogymi? ehh? /me knockout....

ghost_____ 2012.03.29. 09:07:51

@synapse: Ezt inkább fedje a feledés sötét homálya :)
De sok sör után egyszer elmondom.
süti beállítások módosítása