Encontrei uma situação em que as informações do cartão de pagamento (débito / crédito), incluindo nome, número, data de validade e CVC, estão sendo salvas por uma organização não criptografado em planilhas do Excel em drives compartilhados. Os arquivos têm vários anos e, de acordo com a data de validade, todos os cartões registrados estão vencidos. A solução óbvia para o problema é excluir as informações, a menos que exista um bom motivo para mantê-las.

Minha pergunta é: qual é a exposição ao risco de informações não criptografadas para cartões de pagamento expirados . Não procuro detalhes sobre como cometer uma fraude. Estou buscando informações gerais sobre se os dados ainda podem ser explorados para uma fraude e, em caso afirmativo, quais são algumas formas gerais. Estou pedindo para poder avaliar adequadamente o risco em uma área na qual não tenho experiência e para poder educar meus clientes sobre quaisquer perigos, para que possam avaliar a necessidade de identificar todas as instâncias e resolver o problema.

Comentários

  • No meu caso particular, o número do meu debit não foi alterado (exceto CCV) quando expirou e reemitido, enquanto o número do meu credit cartão mudou. Pode ser um caso especial, mas talvez não (esta é uma grande cooperativa de crédito militar).
  • O mesmo aconteceu com meu debit cartão @armani. Como há lugares que aceitam um cartão de crédito sem um número CCV e uma data de vencimento é bastante adivinhada com base no cartão de crédito vencido recentemente (por exemplo: adicionar N anos), parece um grande problema.
  • Datas de vencimento fáceis de adivinhar, portanto, se a pessoa não ' se moveu e o número do cartão não ' não foi reatribuído, sim, seria É bastante fácil adivinhar uma nova data de vencimento a partir da antiga (os meses não ' t normalmente mudam, dependendo da conta, o ano geralmente aumenta de 2 a 5 anos) e fazer pedidos com ela .

Resposta

Além da chance de que um cartão de substituição com o mesmo PAN, mas com nova data de validade e o CVV foi emitido (conforme observado por outras pessoas nos comentários), ele pode ser usado para spearphishing.

Apenas sabendo que John Smith tem um cartão platinum com o banco XYZ e o usou para pagar um pacote de 10 sanduíches Nutella abre para enviar a ele um e-mail ou correio tradicional com alguma oferta fantástica daquele banco ou de um comerciante com quem ele tenha feito negócios no passado (por exemplo “Nutella Wholesale Traders Int”).

Comentários

  • Algumas empresas também usam números de cartão de crédito para recuperação de conta (Amazon). Portanto, também pode ser usado para invasão de conta e, possivelmente, para roubo de identidade.

Resposta

Sim, você pode gerar fora de um BIN (Número de Identificação do Banco) que são os primeiros 6 dígitos na sequência de 16 dígitos do cartão de crédito. E se o BIN que você está usando expirar, dependendo se for Visa ou MasterCard, você pode literalmente guardar o mês e aumentar o ano em 3 ou 4 anos. tenha um bom cartão de crédito de limite alto, dê uma olhada nele e digite os primeiros 12 números em um gerador de números (segue o algoritmo de Luhn). Você pode encontrar geradores em todo o googleplay gratuitamente. Em seguida, mantendo a mesma data de validade, seja qual for o gerador cuspiu deveria ser ou em um ponto foi válido. Mas você tem cerca de 8.500 para escolher, então escolha os dois últimos números para alterar. Mas fazer isso com o número do cartão de crédito de outra pessoa é ilegal, e eu não tolero .

Comentários

  • Qual é o ponto de usar um gerador quando você tem um número real completo? Como outros apontaram, o número é freqüentemente mantido em várias reedições, apenas a data e o CVV mudam.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *