Encontrei uma situação em que as informações do cartão de pagamento (débito / crédito), incluindo nome, número, data de validade e CVC, estão sendo salvas por uma organização não criptografado em planilhas do Excel em drives compartilhados. Os arquivos têm vários anos e, de acordo com a data de validade, todos os cartões registrados estão vencidos. A solução óbvia para o problema é excluir as informações, a menos que exista um bom motivo para mantê-las.
Minha pergunta é: qual é a exposição ao risco de informações não criptografadas para cartões de pagamento expirados . Não procuro detalhes sobre como cometer uma fraude. Estou buscando informações gerais sobre se os dados ainda podem ser explorados para uma fraude e, em caso afirmativo, quais são algumas formas gerais. Estou pedindo para poder avaliar adequadamente o risco em uma área na qual não tenho experiência e para poder educar meus clientes sobre quaisquer perigos, para que possam avaliar a necessidade de identificar todas as instâncias e resolver o problema.
Comentários
Resposta
Além da chance de que um cartão de substituição com o mesmo PAN, mas com nova data de validade e o CVV foi emitido (conforme observado por outras pessoas nos comentários), ele pode ser usado para spearphishing.
Apenas sabendo que John Smith tem um cartão platinum com o banco XYZ e o usou para pagar um pacote de 10 sanduíches Nutella abre para enviar a ele um e-mail ou correio tradicional com alguma oferta fantástica daquele banco ou de um comerciante com quem ele tenha feito negócios no passado (por exemplo “Nutella Wholesale Traders Int”).
Comentários
- Algumas empresas também usam números de cartão de crédito para recuperação de conta (Amazon). Portanto, também pode ser usado para invasão de conta e, possivelmente, para roubo de identidade.
Resposta
Sim, você pode gerar fora de um BIN (Número de Identificação do Banco) que são os primeiros 6 dígitos na sequência de 16 dígitos do cartão de crédito. E se o BIN que você está usando expirar, dependendo se for Visa ou MasterCard, você pode literalmente guardar o mês e aumentar o ano em 3 ou 4 anos. tenha um bom cartão de crédito de limite alto, dê uma olhada nele e digite os primeiros 12 números em um gerador de números (segue o algoritmo de Luhn). Você pode encontrar geradores em todo o googleplay gratuitamente. Em seguida, mantendo a mesma data de validade, seja qual for o gerador cuspiu deveria ser ou em um ponto foi válido. Mas você tem cerca de 8.500 para escolher, então escolha os dois últimos números para alterar. Mas fazer isso com o número do cartão de crédito de outra pessoa é ilegal, e eu não tolero .
Comentários
- Qual é o ponto de usar um gerador quando você tem um número real completo? Como outros apontaram, o número é freqüentemente mantido em várias reedições, apenas a data e o CVV mudam.
debit
não foi alterado (exceto CCV) quando expirou e reemitido, enquanto o número do meucredit
cartão mudou. Pode ser um caso especial, mas talvez não (esta é uma grande cooperativa de crédito militar).debit
cartão @armani. Como há lugares que aceitam um cartão de crédito sem um número CCV e uma data de vencimento é bastante adivinhada com base no cartão de crédito vencido recentemente (por exemplo: adicionar N anos), parece um grande problema.