Informazioni sulla carta di credito inviate via HTTP? [duplicare]

5

La mia fidanzata stava navigando su un sito web (www.medievalbridalfashions.com) e stava per fare un acquisto quando ho notato qualcosa. Durante il checkout, tutto sembrava essere inviato su un semplice HTTP.

Ho creato un account fittizio, ho controllato il processo di checkout, ho sparato a Wireshark e ho esaminato il pacchetto inviato e le informazioni CC erano in chiaro, insieme alla data di scadenza e al codice di sicurezza.

Questo è un grosso problema come lo sto rendendo? Non sono affatto un esperto di sicurezza, ma l'invio di informazioni di carta di credito non crittografate su Internet mi rende un po 'a disagio.

EDIT: apprezzo le risposte di tutti. Domani chiameremo la sua banca per ricevere una nuova carta. Cercheremo anche di contattare il commerciante e di informarli. Grazie!

    
posta TylerZPD 10.01.2014 - 01:24
fonte

5 risposte

6

Sì, è un grosso problema. Non è sicuro ed è una violazione di PCI DSS 4.1:

4.1 Use strong cryptography and security 
protocols (for example, SSL/TLS, IPSEC, 
SSH, etc.) to safeguard sensitive 
cardholder data during transmission over 
open, public networks. 

Puoi avvisarli che non sono conformi, ma le probabilità sono già che lo sanno. Se riesci a determinare chi sono il loro acquirente o processore, puoi provare a notificarli, poiché sono quelli che vengono effettivamente multati se si verifica una violazione (... e poi passano le multe ai commercianti coinvolti) . Nel complesso, tuttavia, la struttura PCI DSS è progettata per incoraggiare la sicurezza e punire le parti responsabili, non per rafforzare la sicurezza.

    
risposta data 10.01.2014 - 02:03
fonte
3

Il primo comandamento dell'e-commerce è:

Thou shalt use HTTPS.

PCI DSS richiede che le informazioni sui titolari di carta inviate su reti pubbliche aperte siano codificate in modo appropriato (§ 4.1).

For SSL/TLS implementations, examine system configurations to verify that SSL/TLS is enabled whenever cardholder data is transmitted or received. For example, for browser-based implementations:

  • “HTTPS” appears as the browser Universal Record Locator (URL) protocol, and
  • Cardholder data is only requested if “HTTPS” appears as part of the URL.

Non farlo e chiunque si trovi tra i due endpoint (tu e il sito web, in questo caso) puoi strappare le informazioni della tua carta di credito dal filo.

Questa è quasi certamente una violazione del contratto del commerciante con il suo fornitore / banca del conto commerciale.

    
risposta data 10.01.2014 - 02:03
fonte
1

Sì, questo è un problema serio. Non solo i dati sono facilmente accessibili da chiunque stia annusando la connessione, ma l'utilizzo di HTTPS è una misura di base, che non usando0 indica che non hanno idea di cosa stiano facendo, e ci sono ottime possibilità che anche problemi più grandi possano anche essere presente. Per esempio, mi aspetterei che un sito Web che accetta i dati della carta di credito su HTTP lo stia memorizzando in un modo altrettanto stupido e pericoloso. Starei lontano, molto lontano da qualsiasi commerciante che possa implementare qualcosa di così fondamentale come questo.

Inoltre, come @itscooper menzionato nel commento, si tratta di una chiara violazione PCI-DSS, e potrebbero essere multati, o perdere il loro account commerciante (e la possibilità di accettare carte di credito) su di esso.

    
risposta data 10.01.2014 - 02:06
fonte
1

Da un punto di vista tecnico presenta un significativo rischio per la sicurezza dei dati dei titolari di carta. Sarà trasportato su Internet in chiaro. Qualsiasi entità maligna che sta monitorando il traffico lungo questo percorso sarebbe in grado di acquisire il PAN e altri dettagli della carta. Le persone che effettuano pagamenti su reti pubbliche / aperte o reti private compromesse (ad esempio casa / lavoro) sarebbero più vulnerabili.

Dal punto di vista della conformità, tutte le entità che elaborano, memorizzano o trasmettono i dati dei titolari di carta sono tenuti a rispettare lo standard PCI DSS (Payment Data Industry Standard). Il requisito 4.1 è il seguente:

Use strong cryptography and security protocols (for example, SSL/TLS, IPSEC, SSH, etc.) to safeguard sensitive cardholder data during transmission over open, public networks...

link

A quanto ho capito, la banca acquirente può essere multata per aver violato questi requisiti, che è probabile che passare al commerciante.

    
risposta data 10.01.2014 - 02:21
fonte
0

È sicuramente un problema. Non solo mette a rischio i dati delle carte del cliente (i tuoi) ma è una violazione dell'accordo del commerciante con il loro processore di schede che richiede sempre la conformità PCI e uno dei requisiti è che i dati delle carte vengano crittografati quando si passa su reti pubbliche. / p>     

risposta data 10.01.2014 - 02:03
fonte

Leggi altre domande sui tag