Jag har stött på en situation där betalningskortsinformation (debet / kredit), inklusive namn, nummer, utgångsdatum och cvc, sparas av en organisation okrypterad i Excel-kalkylark på delade enheter. Filerna är flera år gamla och per utgångsdatum har alla inspelade kort gått ut. Den uppenbara lösningen på problemet är att radera informationen såvida det inte finns mycket goda skäl att behålla.
Min fråga är, vad är riskexponeringen för okrypterad information för utgången betalkort. Jag letar inte efter detaljer om hur man utför bedrägerier. Jag söker allmän information om huruvida uppgifterna fortfarande kan utnyttjas för bedrägeri och i så fall vad är några allmänna sätt. Jag frågar så att jag kan bedöma riskerna ordentligt i ett område jag inte har erfarenhet av och så att jag kan utbilda mina klienter om eventuella faror så att de kan uppskatta behovet av att identifiera alla fall och ta itu med problemet.
Kommentarer
Svar
Förutom chansen att ett ersättningskort med samma PAN, men nytt utgångsdatum och CVV har utfärdats (som andra noterade i kommentarerna), kan det naturligtvis användas för spearphishing.
Bara att veta att John Smith har ett platinakort med XYZ-bank och använde det för att betala för en 10-pack Nutella-smörgåsuppslag öppnar sig för att skicka honom ett e-postmeddelande eller snailmail med ett fantastiskt erbjudande från den banken eller från en handlare som han har gjort affärer med tidigare (t.ex. ”Nutella Wholesale Traders Int”).
Kommentarer
- Vissa företag använder också kreditkortsnummer för kontoåterställning (Amazon). Så kan också användas för kontokapning och tänkbart identitetsstöld.
Svar
Ja, du kan generera av en BIN (Bank Identification Number) som är de första 6 siffrorna i den 16-siffriga kreditkortssträngen. Och om BIN du använder går ut, beroende på om det är ett Visa eller MasterCard, kan du bokstavligen behålla månaden och öka året med 3 eller 4 år. Men så långt som siffror i allmänhet … Om du ha ett bra kreditkort med hög gräns, ta en titt på det och ange de första 12 siffrorna i en talgenerator, (detta följer Luhn-algoritmen). Du kan hitta generatorer över hela googleplay gratis. Håll sedan samma utgångsdatum, oavsett generatorn spottar ut borde vara eller vid ett tillfälle ha varit giltig. Men du har cirka 8500 att välja mellan, så välj de två sista siffrorna att ändra. Men att göra detta med någon annans kreditkortsnummer är olagligt, och jag tolererar inte det.
Kommentarer
- Vad är poängen med att använda en generator när du har ett fullständigt, verkligt tal? Som andra påpekade hålls numret ofta över flera nyutgåvor, bara datum och CVV ändras.
debit
kortnummer oförändrat (förutom CCV) när det löpte ut och omutgiven medan mittcredit
kortnummer ändrades. Det kan vara ett speciellt fall, men kanske inte (detta är en stor militär kreditförening).debit
-kort @armani. Eftersom det finns platser som tar ett kreditkort utan CCV-nummer och ett utgångsdatum är ganska gissat baserat på det nyligen utgångna kreditkortet (t.ex.: lägg till N år), det låter som ett stort problem.