130 millió bank- és hitelkártya adatait lopta el három tag. Eredeti hírek itt: Wall Street Journal, iTWire. Az agyam lelökte a szíjat a hír kapcsán, elmondom, miért.
Az adatokat 5 nagy rendszerből szerezték meg, köztük egy hitelkártya tranzakciókat feldolgozó cégtől. Ezzel kapcsolatos az én egyszerű kérdésem: ezeknél miért is tárolódtak hitelkártya adatok?
Több olyan alkalmazást is élesztettem már fel, amelyeknél online hitelkártya-elfogadó alrendszer is része volt a webshopnak, nem beszélve PayPal és 2CheckOut integrációkról. Egyik rendszer sem engedi meg - hálistennek még a hazaiak sem - hogy a folyamatba belelássak, a gateway minden esetben az ő oldalukról érkezik, a kapcsolat minden alkalommal SSL-en keresztül épül fel, stb. Fel nem fogom, hogy az említett kereskedelmi egységekkel kapcsolatban lévő bankok illetve a köztes szolgáltató hogy engedhetnek meg maguknak ekkora biztonsági rést.
Mert mi is történik? Odamegyek a pulthoz, online (értsd: telefonon vagy egyéb vonalon) azonnal bekérdeznek az egyenlegemre, és a bankom vagy engedi a fizetést, vagy nem. Az egész nem tart tovább 30 másodpercnél, és ez még ISDN vonalra is érvényes. Ki és miért tárolna tehát köztes helyen hitelkártya adatokat, a bank azt miért is adja ki a védett infrastruktúrából?!
Léteznek előfizetéses szolgáltatások, újság, film, egyéb internetes szolgáltatások, amiket egyes rendszerek az én előzetes jóváhagyásom után automatikusan megújítanak. Ilyenkor sem kell azonban előszedni a hitelkártya adatokat a lokális törzsből, mert egy arról képzett kódot az első tranzakció idején szabad tárolni (lásd pl. az OTP Bank rendszerét) és az ilyen esetekben összevethető az élő számlával.
A három csávónak "gratulálok", nem így kellett volna. Szerintem elég szép honoráriumot kaphattak volna, ha megfelelően zárt csatornán keresztül jelzik a biztonsági rést. Most aztán fújhatják a következő 10-20 évüket. Az 5 rendszer tervezőinek meg egyesével azt üzenem: monnyonle!
*A bejegyzés korábban megjelent a Kockablog-ban.
Utolsó kommentek