duminică, 14 iunie 2009

Un sfat prietenesc


Pe site-ul unor hackeri a fost publicată o ştire referitoare la spargerea magazinelor virtuale eMag şi Domo. Până aici nimic extraordinar, numai că, din capturile de ecran pe care hackerii le-au publicat pe site rezultă clar că au avut acces la ceva date sensibile(vezi imaginile de mai jos).



Dacă într-adevăr cele două magazine virtuale au fost sparte e grav. Problema majoră pe care o văd în acest moment este că cele două site-uri par a avea stocate datele de identificare ale cardurilor şi ale proprietarilor acestora. Mai mult, în cazul Domo(imaginea 2), se pare că există un tabel în care sunt păstrate toate tranzacţiile efectuate cu cardurile. Cel puţin asta rezultă din imagini. Din câte ştiu, stocarea acestor informaţii este permisă numai dacă deţii anumite certificări din partea organizaţiilor internaţionale de carduri, certificări pe care mi-e greu să cred că le deţin cei de la eMag sau Domo. Cel mai probabil avem de-a face ori cu o stocare abuzivă a acestor date, ori cu o superficialitete incredibila a băncilor partenere(sau a procesatorilor acestora).

Concluzia e simplă. Dacă informaţia de pe site-ul amintit este reală, înseamnă că cei care au efectuat plăţi cu cardul la cele două magazine virtuale ar trebui să-şi blocheze urgent cardurile. Dacă te numeri printre ei e bine să-ţi informezi banca despre acest incident şi să-ţi schimbi urgent cardul. Nu de alta, dar e posibil să te trezeşti că cineva dintr-o ţară suspectă cumpără de pe net cu cardul tău. Oricum, până când lucrurile nu se pun la punct, cred că e mai bine să stai departe de plăţile cu cardul pe site-urile româneşti.

P.S. Nu dau niciun link catre site-ul hackerilor pentru ca nu vreau sa le fac publicitate. Dacă vă interesează cu adevărat subiectul, căutaţi prin link-urile de aici şi veţi găsi referinţa(aşa am aflat şi eu).

5 comentarii:

  1. Exagerezi, exista provideri care nu tolereaza asa ceva (ex. Epayment / Gecad), folosit de multe magazine virtuale (inclusiv Vodafone). Emag si Domo din pacate au folosit o solutie custom iar dezvoltatorii au fost de slaba calitate.

    Orice tranzactie cu cardul e protejata prin chargeback, lunar ma uit pe extrasul de card si daca vad vreo tranzactie nefacuta de mine pot cere bancii sa o anuleze, magazinul virtual va returna banii + o taxa de 5 - 25USD. Daca se ajunge la o rata de chargeback de peste 2% (frauda sau clienti nemultumiti de produsele primite) magazinului virtual i se suspenda dreptul de a mai vinde online prin card.

    Mult mai nenorocite sunt atacurile de phishing unde tolomacii isi dau toate datele de pa card sau ATM-urile fake cu scanner atasat, se goleste apoi cardul de la un ATM din Valcea iar banca va ridica din umeri (nu e vina lor ca tu ai dai cuiva PIN-ul).

    RăspundețiȘtergere
  2. Adamclisi: Corect, ePayment pare ceva mai sigur, mai ales prin faptul ca nu lasa magazinele partenere sa finalizeze tranzactia(tot procesul de plata cu cardul se desfasoara pe site-ul lor).

    In ceea ce priveste protectia prin cbk, sunt curios cum vei justifica faptul ca atacatorul cunostea atat numarul cardului cvat si data expirarii si CVV2... Si, daca banuielile mi se confirma si in bazele alea de date erau stocate si parole de 3DSecure sau SecureCode atunci iti garantez ca nu ai nicio sansa! Nu in ultimul rand, ar mai fi o varianta in care baietii astia ar putea sa-ti faca vraiste cardul, iar procedura de recuperare e destul de greoaie(nu o spun aici ca sa nu le dau idei).

    Referitor la taxa de cbk, aceea este platita de magazin bancii, nu pagubitului. Si este vorba de magazinul la care s-a tranzactionat cu datele furate, nu de magazinul de la care s-au furat datele.

    RăspundețiȘtergere
  3. Parola 3Dsecure nu poate fi stocata in baza de date a comerciantului, pur si simplu nu are acces la ea, chiar de cumparatorul are senzatia ca nu a parasit situl pentru a introduce parola 3DSecure.

    3Dsecure functioneaza pe principiul autorizarii independente de site, banca si gateway.

    De aceea daca folosesti cardul pentru cumparaturi online e bine sa iti activezi serviciul 3Dsecure care iti da un plus de siguranta.

    Informatiile ca numar de card, CVV2, etc., pot fi stocate in baza de date si adevarat, pot fi folosite de alte persoane. Daca nu pentru a primi ceva pe adresa de acasa, macar o poti face pentru abonamente pe diverse situri.

    Lipsa mare de profesionalism pentru eMag si Domo. Nu numai pentru ca sufera pe partea de securitate, dar si pentru ca stocheaza astfel de informatii.

    RăspundețiȘtergere
  4. csharpdeveloper: stiu cum functioneaza 3DSec si SecureCode. Teoretic ai perfecta dreptate. Mi-a atras insa atentia un nume de tabela...

    In rest, nu ai voie sa stochezi datele referitoare la carduri. Pentru asa ceva, trebuie sa fii autorizat de organizatiile de carduri, iar aceasta autorizare se poate obtine num ai in urma unui audit de securitate.

    RăspundețiȘtergere
  5. iti faci 2 conturi la o banca, expui doar unul la platile pe internet si bagi bani in el doar cand urmeaza sa faci o plata, esti protejat printr-o metoda simpla si la indemana oricui :)

    RăspundețiȘtergere