Ho riscontrato una situazione in cui le informazioni sulla carta di pagamento (debito / credito), inclusi nome, numero, data di scadenza e cvc, vengono salvate da unorganizzazione non crittografati nei fogli di calcolo Excel sui Drive condivisi. I file hanno diversi anni e per la data di scadenza tutte le carte registrate sono scadute. Lovvia soluzione al problema è eliminare le informazioni a meno che non esista una buona ragione per mantenerle.

La mia domanda è: qual è lesposizione al rischio per le informazioni non crittografate per le carte di pagamento scadute . Non sto cercando dettagli su come eseguire una frode. Sto cercando informazioni generali sul fatto che i dati possano ancora essere sfruttati per una frode e in caso affermativo quali sono alcuni modi generali. Chiedo in modo da poter valutare correttamente il rischio in unarea in cui non ho esperienza e in modo da poter istruire i miei clienti su eventuali pericoli in modo che possano apprezzare la necessità di identificare tutte le istanze e affrontare il problema.

Commenti

  • Nel mio caso particolare, il numero della mia carta debit era invariato (eccetto CCV) quando era scaduto e ristampato, mentre il mio numero di carta credit è cambiato. Potrebbe essere un caso speciale, ma forse no (si tratta di una delle principali associazioni di credito militari).
  • Lo stesso è accaduto con la mia debit carta @armani. Poiché ci sono posti che accettano una carta di credito senza numero CCV e una data di scadenza è abbastanza indovinabile in base alla carta di credito scaduta di recente (ad esempio: aggiungi N anni), sembra un grosso problema.
  • Date di scadenza facili da indovinare, quindi se la persona non si è ' spostata e il numero della carta non è ' t è stato riassegnato, sì, sarebbe b È abbastanza facile indovinare una nuova data di scadenza rispetto a quella vecchia (i mesi non ' di solito cambiano, a seconda dellaccount, lanno di solito aumenta di 2-5 anni) e inserire ordini con esso .

Risposta

Oltre alla possibilità che una carta sostitutiva con lo stesso PAN, ma nuova data di scadenza e CVV è stato emesso (come notato da altri nei commenti), ovviamente può essere utilizzato per lo spearphishing.

Solo sapendo che John Smith ha una carta di platino con la banca XYZ e lha usata per pagare una confezione da 10 di crema spalmabile alla Nutella si apre per avergli inviato une-mail o una posta di lumaca con qualche fantastica offerta da quella banca, o da un commerciante con cui ha fatto affari in passato (es. “Nutella Wholesale Traders Int”).

Commenti

  • Alcune aziende utilizzano anche numeri di carte di credito per il recupero dellaccount (Amazon). Quindi potrebbe essere utilizzato anche per il dirottamento dellaccount e presumibilmente per il furto di identità.

Risposta

Sì, puoi generare fuori da un BIN (Bank Identification Number) che è le prime 6 cifre nella stringa della carta di credito a 16 cifre. E se il BIN che stai usando scade, allora a seconda che sia Visa o MasterCard, puoi letteralmente mantenere il mese e aumentare lanno di 3 o 4 anni, ma per quanto riguarda i numeri in generale ….. Se tu avere una buona carta di credito con limite elevato, dai unocchiata e inserisci i primi 12 numeri in un generatore di numeri, (questo segue lalgoritmo di Luhn). Puoi trovare generatori su googleplay gratuitamente. Quindi mantenendo la stessa data di scadenza, qualunque il generatore sputa dovrebbe essere o a un certo punto è stato valido. Ma hai circa 8.500 tra cui scegliere, quindi scegli gli ultimi due numeri da modificare. Ma farlo con il numero di carta di credito di qualcun altro è illegale e non ti perdono it.

Commenti

  • Qual è lo scopo di utilizzare un generatore quando hai un numero completo e reale? Come altri hanno sottolineato, il numero viene spesso mantenuto per diverse ristampe, solo la data e il CVV cambiano.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *