Ik ben een situatie tegengekomen waarin betaalkaartgegevens (debet / krediet), inclusief naam, nummer, vervaldatum en cvc, worden opgeslagen door een organisatie niet-versleuteld in Excel-spreadsheets op gedeelde schijven. De bestanden zijn meerdere jaren oud en op de vervaldatum zijn alle geregistreerde kaarten verlopen. De voor de hand liggende oplossing voor het probleem is om de informatie te verwijderen, tenzij er een zeer goede reden bestaat om deze te bewaren.
Mijn vraag is, wat is de risicoblootstelling voor niet-versleutelde informatie voor verlopen betaalkaarten. Ik ben niet op zoek naar details over het plegen van fraude. Ik zoek algemene informatie over de vraag of de gegevens nog steeds kunnen worden misbruikt voor fraude en zo ja, wat zijn enkele algemene manieren. Ik vraag het zodat ik de risicos goed kan inschatten op een gebied waar ik geen ervaring mee heb en zodat ik mijn klanten kan informeren over eventuele gevaren, zodat ze de noodzaak kunnen inzien om alle gevallen te identificeren en het probleem aan te pakken.
Opmerkingen
Antwoord
Naast de kans dat een vervangende kaart met dezelfde PAN, maar een nieuwe vervaldatum en CVV is uitgegeven (zoals opgemerkt door anderen in de commentaren), kan het natuurlijk worden gebruikt voor spearphishing.
Wetende dat John Smith een platina-kaart heeft bij de XYZ-bank en deze heeft gebruikt om te betalen voor een 10-pack Nutella sandwich spread is beschikbaar voor het sturen van hem een e-mail of snailmail met een fantastisch aanbod van die bank, of van een handelaar met wie hij in het verleden zaken heeft gedaan (bijv. “Nutella Wholesale Traders Int”).
Opmerkingen
- Sommige bedrijven gebruiken ook creditcardnummers voor accountherstel (Amazon). Het kan dus ook worden gebruikt voor accountkaping en mogelijk identiteitsdiefstal.
Antwoord
Ja, u kunt van een BIN (Bank Identification Number), dit zijn de eerste 6 cijfers van de 16-cijferige creditcardreeks. En als de BIN die u gebruikt verloopt, kunt u, afhankelijk van of het een Visa of MasterCard is, letterlijk de maand behouden en het jaar met 3 of 4 jaar verlengen. Maar voor zover het cijfers in het algemeen betreft ….. Als u een goede creditcard met hoge limiet hebben, bekijk deze en voer de eerste 12 cijfers in een nummergenerator in (dit volgt het Luhn-algoritme). Je kunt overal op Googleplay gratis generatoren vinden. Houd dan dezelfde vervaldatum aan, wat dan ook de generator die uitspuugt zou geldig moeten zijn of op een gegeven moment zijn geweest. Maar je hebt ongeveer 8.500 om uit te kiezen, dus kies de laatste twee cijfers om te wijzigen. Maar dit doen met het creditcardnummer van iemand anders is illegaal en ik keur het niet goed it.
Reacties
- Wat heeft het voor zin om een generator te gebruiken als je een compleet, reëel getal hebt? Zoals anderen opmerkten, wordt het nummer vaak bewaard tijdens verschillende heruitgaven, alleen de datum en CVV-wijzigingen.
debit
kaartnummer ongewijzigd (behalve CCV) toen het was verlopen en opnieuw uitgegeven, terwijl mijncredit
kaartnummer wel veranderde. Dat kan een speciaal geval zijn, maar misschien niet (dit is een grote militaire kredietvereniging).debit
kaart @armani. Omdat er plaatsen zijn waar een creditcard zonder CCV-nummer kan worden gebruikt en een vervaldatum redelijk te raden is op basis van de onlangs verlopen creditcard (bijv. N jaar), klinkt het als een groot probleem.