Tutti gli 0 (zero) nel codice CVC di una carta bancaria

226

La mia carta di credito è scaduta da poco. Ne ho preso uno nuovo e questo si è rivelato "fortunato": il suo codice CVC era 000 .

Peralcunimesil'housatoampiamente,siaonlinecheoffline,senzaalcunadifficoltà-finoalgiornoincuihoinseritoidettaglidellamiacartasuBooking.com.Hocompilatoilmodulo,hocliccatosu"invia" - solo per vedere la pagina scartare il valore nel campo CVC e chiedere di inserirlo di nuovo.

Ho contattato il supporto. Hanno confermato che il codice CVC "000" non è accettabile perché non è considerato abbastanza sicuro (non una citazione esatta, sfortunatamente, dato che la conversazione era in estone), e hanno suggerito di ordinare una nuova carta di credito in cui il codice CVC sarebbe diverso da "000".

Questo mi ha lasciato perplesso. Come ex tester, sono abbastanza abituato a situazioni in cui penso di segnalare un bug e poi mi viene detto che in realtà è una funzionalità, ma questa volta era in qualche modo contro il buon senso. Il mio attuale lavoro riguarda anche la sicurezza delle informazioni e posso pensare a tre motivi per cui la loro affermazione non ha senso:

  1. CVC non è solo un numero casuale, esiste un algoritmo specifico di generarlo. Questo, a sua volta, significa che tutti i valori sono ugualmente probabili e alcuni numeri certi non possono essere esclusi da esso.
  2. Ho già utilizzato questa scheda con una serie di altri servizi online, inclusi Amazon Web Services, la cui sicurezza è fuori da ogni dubbio.
  3. Non capisco cosa significhi "non abbastanza sicuro". "111" o "999" sono abbastanza sicuri? In caso contrario, che ne dite di "123" o "234"? Di nuovo, non è qualcosa che scelgo, è qualcosa che mi viene dato da una banca, e se la banca pensa che sia sicuro, allora deve essere trattato come tale.

La loro risposta è stata molto educata ma non molto utile: " Comprendiamo totalmente la tua frustrazione e siamo davvero dispiaciuti di averti causato disagi. Abbiamo consegnato il tuo ragionamento alla nostra direzione - hanno risposto che 000 è considerato non valido, e questo è anche un modo in cui le banche indicano che la carta è una falsificazione ".

Ho inoltrato la catena di posta alla mia banca e ho chiesto il loro consiglio. Mi hanno detto che avrebbero rilasciato una nuova carta gratis, che ha risolto il problema per me.

Tuttavia, mi chiedo ancora:

  1. Esistono regolamenti / prescrizioni ufficiali (da Visa / MC o altrove) o le migliori pratiche relative ai codici CVC / CVV "tutto-zero"? Soprattutto quella cosa sulle banche che presumibilmente usano 000 come indicazione di un falso - suona come una totale assurdità per me. Ho provato su Google, ma non ho trovato nulla.
  2. Da un punto di vista pratico, quanto è ragionevole rifiutare "000" come insicuro? Ho elencato le mie preoccupazioni sopra, ma forse mi manca qualcosa?

Aggiornamento : scelta difficile su quale risposta accettare ... Mi è piaciuta la risposta di Alexander O'Mara molto - è dettagliato e al punto. Anche l'ultima revisione della risposta di Harper sembra molto ragionevole. Tuttavia alla fine ho deciso di accettare la risposta di Zoey - sembra la più rilevante, in quanto, oltre a tutto il resto, getta luce anche sugli interni del settore alberghiero.

Grazie a tutti per le vostre risposte e commenti! Quello che ho intenzione di fare ora è di contattare nuovamente il supporto di Booking.com e insistere per ottenere questo problema. Vi dirò del risultato.

    
posta Vlad Nikiforov 22.12.2018 - 21:30
fonte

7 risposte

179

Alexander O'Mara ha fornito una risposta corretta , ma avendo lavorato in un hotel che utilizzava booking.com Credo di poter fornire ulteriori informazioni sul motivo per cui è stato negato il CVV.

Ogni giorno l'hotel in cui ho lavorato avrebbe ricevuto circa 50 prenotazioni, un quarto di queste avrebbe utilizzato i dati della carta di credito falsi e circa il 90% delle persone che utilizzavano i dati della carta di credito falsi non si sarebbero presentati.

Ciò ha comportato molte congetture nell'assegnazione delle stanze, cerchiamo spesso di indovinare se la persona verrà visualizzata solo in base ai dettagli della carta di credito, e anche a volte prendere in considerazione il nome, la posizione, quanti giorni avranno stare, ecc. Vorremmo anche provare a chiamare il giorno prima per confermare le prenotazioni, in modo che queste prenotazioni false comportino un'interruzione minima per il business.

Bloccare CVV 000 è solo il pigro tentativo di booking.com di ridurre la quantità di prenotazioni false. Alcuni altri CVV sono bloccati pure.

Il motivo per cui booking.com blocca il CVV e altri siti Web non è perché altri siti web tentano in genere di addebitare immediatamente la carta di credito, mentre booking.com inoltra solo le informazioni agli hotel che fanno pagare la carta di credito il giorno di arrivo .

    
risposta data 23.12.2018 - 02:21
fonte
142

L'unico argomento debole che posso pensare di rifiutare un CVV di questo tipo sarebbe che se qualcuno stesse provando a forzare il tuo codice a 3 cifre, potrebbe iniziare con 000 prima (ma rifiuterebbero anche 001 ?).

From practical point of view, how reasonable it is to decline "000" as insecure?

Non è davvero ragionevole. O è possibile caricare la carta con il codice CVC / CVV fornito o non è possibile. Non c'è alcun valido motivo per rifiutare questo codice, poiché è valido e non puoi essere sicuro che i codici di una carta di credito siano validi finché non provi effettivamente a caricarlo.

Purtroppo, la convalida dell'input mal progettata è fin troppo comune. Alcuni sviluppatori tendono a presumere che determinati valori non siano validi senza verificare le specifiche, o non correttamente testano le loro convalide di input.

Alcuni esempi includono:

  • Indirizzo IP 1.1.1.1
  • Verifica della versione di bug come "10" < "9" se solo il primo carattere nella stringa sta controllando
  • Nomi con caratteri non alpha (come l'apostrofo nel mio nome)

Non è raro che le persone nel servizio clienti rispondano alle segnalazioni di bug con qualcosa del tipo "non è un bug, è una caratteristica" senza nemmeno consultare gli sviluppatori.

    
risposta data 22.12.2018 - 22:57
fonte
88

Questa è una sfida per le affermazioni dell'azienda. Un numero casuale compreso tra 000 e 1999 è più sicuro di 001-998, il rifiuto dei valori lo indebolisce .

È un bug del software. Non possono ammetterlo.

Un solo esempio: diciamo, da qualche parte nella pila, usano una lingua con variabili non tipizzate (cioè dove la stessa variabile può contenere 123.45, "tardi per cena", una stringa di 0 caratteri, un token "indefinito", ecc. ). È normale scrivere questo:

if ($CVC) # is CVC field present?

In un linguaggio non tipizzato, una stringa vuota restituisce 0 (falso) come previsto dal programmatore, ma lo fa anche 000! Ci sono modi migliori per farlo.

In questo caso, sappiamo che il problema non è nell'interfaccia utente web pubblica che utilizzi, ma nella piattaforma di back-end condivisa da entrambi. L'agente dovrebbe aprire un bug su di esso nel sistema di ticketing.

Quindi perché hanno affermato ciò che hanno detto? Perché le normali aziende sono molto riluttanti ad ammettere questo tipo di errore strutturale che li fa apparire incompetenti. Ma non possono nemmeno inviarti un "Non so", perché ha lo stesso effetto. Quindi hanno bisogno di dirti qualcosa in questo momento che si sente vendibile a loro.

Ovviamente è sbagliato; come dimostrato da tutte le altre persone con cui fai affari che non hanno alcun problema. Ma provalo tu stesso; prova una piattaforma di prenotazione in competizione e guarda come va.

    
risposta data 23.12.2018 - 20:42
fonte
10

Al momento ho una carta di credito che probabilmente ha un numero CVV peggiore: 123

Finora non è mai stato negato, ma da un punto di vista della sicurezza non mi piace perché penso che potrebbe essere la prima cosa che un ladro potrebbe digitare se in qualche modo avessero i miei numeri ma non il mio carta.

Dal punto di vista del sito web, IMHO è asinino a trattare intenzionalmente un numero valido come non valido. (Ancora di più se le probabilità che si verifichi siano solo 1 su 1000.) Dal momento che sarebbe estremamente facile per il sito tentare un'autorizzazione molto piccola per confermare la carta di credito, o addirittura lasciare che l'hotel decidesse autonomamente, non lo farei Sono d'accordo con l'argomento "prevenire numeri falsi". Detto questo, una ricerca rapida produce un bel po 'di persone con lo stesso problema su vari siti web oltre gli anni. Quindi non sei solo. :)

    
risposta data 27.12.2018 - 17:49
fonte
5

In tutta onestà, ci sono decine di migliaia di sistemi di prenotazione alberghiera che booking.com deve passare a informazioni che devono elaborare. Confido che booking.com possa permettersi uno sviluppatore che sa (000) == FALSE in JavaScript ... ma vale la pena dedicare il proprio tempo di supporto per diagnosticare lo stesso identico bug per le centinaia di hotel che probabilmente hanno questo bug nella loro sistemi di prenotazione? Assolutamente no.

La mia ipotesi è che questo sia in realtà un tentativo abbastanza ragionevole di mitigare gli errori di elaborazione dei dati che si verificano più avanti lungo la catena e in sistemi che non hanno il controllo di booking.com.

Come commercianti di carte, sono obbligati a elaborare carte valide, quindi probabilmente stanno infrangendo le regole mercantili qui e potrebbero finire nei guai con VISA (o chiunque) ... ma posso quasi vedere la logica.

    
risposta data 02.01.2019 - 14:23
fonte
3

Ho alcuni problemi con la semplice teoria del "stupido bug" qui. Non ho alcun dubbio sul fatto che la persona con cui stavi parlando stia tirando fuori queste sciocchezze dal nulla (come fanno soliti fare i servizi ai clienti). 000 è perfettamente valido e non sei la prima persona su Internet a indicare di avere il numero.

Ma qui c'è una scala che le persone non apprezzano.

  • La possibilità naturale di ottenere 000 come CVV è dello 0,1%
  • Booking.com è un'azienda che ha generato $ 8 miliardi nelle entrate del 2017 non elaborate, la maggior parte delle transazioni con carta. Si tratta di circa cinquantamila prenotazioni medie al giorno.
  • Booking.com deve quindi incontrare 000 50 volte al giorno. Per un importo di $ 25.000 persi su Booking.com e, molto, molto di più in termini di prenotazioni effettive non trasmesse.

Rifiutare lo 0,1% delle transazioni con carta è di $ 9 milioni in entrate perse. Nelle [ molto molto più piccole] attività per le quali lavoro, la prenotazione del flusso analitico dovrebbe segnalare questa catena abbastanza rapidamente. Questo tipo di società (lavoro tangenzialmente nei sistemi di prenotazione delle vacanze), l'esperienza del carrello è la parte più tracciata ... Sto trovando molto difficile credere che un'azienda che fa affidamento sull'analisi manchi qualcosa di semplice come una convalida della carta problema.

Quindi se supponiamo che questo non possa esistere a quella scala, dobbiamo offrire alcuni suggerimenti che limitano l'ambito ...

  1. Questo è un bug locale

    Molte multinazionali raccolgono denaro attraverso i conti locali e li rimbalzano da lì a fini fiscali. È possibile che Booking.com consenta ai suoi uffici locali di modificare il codice su questo per gestire le stranezze locali (valuta, schemi di pagamento globali che non sono globali) e, così facendo, consentire l'insinuazione dei bug che non esistono altrove.

    La possibilità di questo è aumentata perché il paese di destinazione è la Croazia. Lì usano la Kuna, non l'Euro. Potrebbe esserci una serie di differenze contabili e fornitori di meccanismi.

    Questo spiega anche il motivo per cui questo è andato sotto il radar. Lo 0,1% dei soldi legati alla Croazia sarà molto meno del reddito globale.

  2. 000 non è comune come lo 0,1%

    Come sottolinea JPhi1618 nei commenti, l'altro fattore limitante l'ambito è che forse le banche non rilasciano molto spesso 000 . Non c'è ragione per cui non dovrebbero e come ho già detto, ci sono prove online di altre persone con 000 carte, ma questo non vuol dire che sia comune.

    I non ho modo di verificarlo. Forse qualcuno con un log di elaborazione delle carte che include CVV può eseguire un'analisi.

Tuttavia, se trovi problemi come questo, segnalali. Salta il team di assistenza clienti perché semplicemente non sanno cosa sta succedendo. Vai all'amministratore delegato o al team di sicurezza perché prenderà questo problema abbastanza seriamente per motivi leggermente diversi. $ 9 milioni di entrate perse sono un buon motivatore.

    
risposta data 02.01.2019 - 14:00
fonte
0

Si noti che su alcuni software di carte di credito, un CVC con il valore magico 000 significa che è stato fornito un CVC ma è stato cancellato da allora (a causa di vincoli PCI). Questo è probabilmente ciò che sta facendo Booking, e questo spiega perché non lo accettano.

Difficoltà: /

    
risposta data 03.01.2019 - 10:42
fonte

Leggi altre domande sui tag