Jai rencontré une situation dans laquelle des informations de carte de paiement (débit / crédit), y compris le nom, le numéro, la date dexpiration et le CVC, sont enregistrées par une organisation non chiffré dans des feuilles de calcul Excel sur des disques partagés. Les fichiers ont plusieurs années et à la date dexpiration, toutes les cartes enregistrées ont expiré. La solution évidente au problème est de supprimer les informations à moins quil existe une très bonne raison de les conserver.
Ma question est la suivante: quel est le risque associé aux informations non chiffrées pour les cartes de paiement expirées . Je ne cherche pas de détails sur la manière de commettre une fraude. Je cherche des informations générales sur la question de savoir si les données peuvent encore être exploitées pour une fraude et, dans laffirmative, de quelles manières générales. Je demande pour que je puisse correctement évaluer les risques dans un domaine dans lequel je nai pas dexpérience et que je puisse éduquer mes clients sur les dangers afin quils puissent apprécier la nécessité didentifier toutes les instances et de résoudre le problème.
Commentaires
Réponse
En plus de la chance quune carte de remplacement avec le même PAN, mais une nouvelle date dexpiration et CVV a été émis (comme indiqué par dautres dans les commentaires), il peut bien sûr être utilisé pour le spearphishing.
Simplement sachant que John Smith a une carte de platine avec la banque XYZ, et la utilisée pour payer un paquet de 10 pâtes à tartiner Nutella souvre pour lui envoyer un e-mail ou un courrier postal avec une offre fantastique de cette banque ou dun commerçant avec lequel il a fait affaire dans le passé (par exemple « Nutella Wholesale Traders Int »).
Commentaires
- Certaines entreprises utilisent également des numéros de carte de crédit pour la récupération de compte (Amazon). Cela pourrait également être utilisé pour le piratage de compte et éventuellement le vol didentité.
Réponse
Oui, vous pouvez générer dun BIN (Bank Identification Number) qui correspond aux 6 premiers chiffres de la chaîne de 16 chiffres de la carte de crédit. Et si le BIN que vous utilisez expire, alors selon quil sagit dune carte Visa ou MasterCard, vous pouvez littéralement garder le mois et augmenter lannée de 3 ou 4 ans. Mais en ce qui concerne les nombres en général ….. Si vous avoir une bonne carte de crédit à limite élevée, jetez-y un œil et entrez les 12 premiers chiffres dans un générateur de nombres, (cela suit lalgorithme de Luhn). Vous pouvez trouver des générateurs partout sur googleplay gratuitement. Ensuite, en gardant la même date dexpiration, quelle que soit le générateur crache devrait être valide ou à un moment donné. Mais vous avez environ 8 500 à choisir, alors choisissez les deux derniers chiffres à modifier. Mais faire cela avec le numéro de carte de crédit de quelquun dautre est illégal, et je ne tolère pas
Commentaires
- Quel est lintérêt dutiliser un générateur lorsque vous avez un nombre réel complet? Comme dautres lont souligné, le numéro est souvent conservé sur plusieurs rééditions, seuls la date et le CVV changent.
debitétait inchangé (sauf CCV) lorsquil a expiré et réémis, alors que mon numéro de cartecredita changé. Cest peut-être un cas particulier, mais peut-être pas (il sagit dune grande coopérative de crédit militaire).debit@armani. Comme il y a des endroits qui acceptent une carte de crédit sans numéro CCV et une date dexpiration est assez devinable en fonction de la carte de crédit récemment expirée (par exemple: ajouter N ans), cela semble être un gros problème.