Quali sono le implicazioni per la sicurezza di un dispositivo come Coin?

4

Coin è un nuovo dispositivo destinato a sostituire fino a 8 carte di credito nel tuo portafoglio con un singolo dispositivo.

Apparentemente funziona analizzando i dati della carta di credito in un'applicazione mobile che si sincronizza con il dispositivo Coin stesso tramite Bluetooth. Lo scanner funziona come uno skimmer per carte di credito a mio parere.

Quali sono le implicazioni di sicurezza e normative di un dispositivo come questo? In ogni caso viola lo standard PCI-DSS? Senza avere effettivamente il dispositivo da testare, quali potrebbero essere le plausibili minacce alla sicurezza?

    
posta Ayrx 18.11.2013 - 08:37
fonte

3 risposte

5

Coin fa affidamento sulla scappatoia di non essere un mercante o un intermediario che gestisce i dati di pagamento; sono solo una forma elettronica di un portafoglio fisico e i dati sono sempre con il cliente (sulla stessa moneta). Questo è evidente in loro domande frequenti :

Q. Does Coin have a PCI PA-DSS validation?

A. The PCI Security Standards Council PA-DSS program addresses payment applications used to accept and process payment for goods and services. A device such as a Coin is seen as similar to a payment card in a consumer’s wallet and the standard does not apply.

La moneta perde un aspetto della gestione di una carta di pagamento: caratteristiche di identificazione fisica; il nome non è fisicamente presente sulla carta, così come la data di scadenza e la firma del cliente. Ciò incontrerà disaccordo da parte dei commercianti in quanto ciò renderà le frodi molto più difficili da rilevare da parte del dipendente di cassa umano. (Nota: questo è uno aspetto del rilevamento delle frodi .Sono consapevole che questo può essere facilmente aggirato. Il fatto è che i commercianti addestrano ancora i loro dipendenti su queste pratiche).

Chiaramente, questo dispositivo si rivolge al mercato statunitense dove le carte a banda magnetica sono ancora lo standard.Personalmente, vedo questo dispositivo in grave errore (e lo spero sicuramente) perché la maggior parte degli emittenti di carte statunitensi ha annunciato che nel 2017 implementeranno uno spostamento di responsabilità in caso di transazioni fraudolente. Ciò significa che qualsiasi commerciante o operatore ATM che non utilizza EMV (~ Chip & Pin) sarà responsabile di questa transazione . Ciò significa che le schede conformi EMV saranno sempre più utilizzate.

Poiché le carte conformi a EMV non possono essere clonate *, questo dispositivo Coin finirà per morire, proprio come lo stile hipster dei suoi inventori.

* Beh, possono essere, con l'aiuto dei microscopi elettronici e della tecnologia laser sofisticata, ma non entriamo nei dettagli di questo.

    
risposta data 18.11.2013 - 10:15
fonte
3

PCI-DSS è richiesto solo per i commercianti, ma non per i clienti. Il rischio di ottenere l'accesso al dispositivo sarebbe lo stesso di perdere il portafoglio con le 8 carte in esso contenute. L'unica cosa importante da notare è che questo non funzionerà in paesi in cui solo il chip e il PIN sono accettati e lo swiping non è più una possibilità. (la maggior parte dei paesi europei in questi giorni)

Inoltre, in alcuni paesi i negozi sono tenuti a verificare la tua identità, con queste carte questo sarà piuttosto difficile perché non puoi più controllare fisicamente quale nome è scritto sulla carta.

    
risposta data 18.11.2013 - 09:02
fonte
2

Ci sono aspetti positivi e negativi alla sicurezza con un sistema come il suo:

Positivo:

  • Il dispositivo deve avere schede caricate su richiesta, quindi può essere una sola carta alla volta. Se viene rubato hai perso solo una carta. EDIT: Questo in realtà non è vero ho scoperto, questa singola carta ha TUTTE le carte su di esso.
  • La carta apparentemente non ha i dettagli fisici su di essa, come il codice a 3 o 4 cifre sul retro. Se è rubato è molto meno utile per il ladro
  • La carta può dire quando è fuori dal raggio del suo telefono principale e si spegne automaticamente, quindi se viene rubata smetterà di funzionare quando è fuori portata. Quella funzione può essere disabilitata toccando un pulsante sulla carta, quindi se il ladro sa che è possibile estrarre la carta e premere il pulsante prima che sia fuori portata. Ciò nonostante, sconfiggerebbe un bel po 'di borseggiatori

Negativi:

  • Il Bluetooth non è noto per la sua sicurezza, infatti è relativamente facile da individuare e interferire. Se questa azienda utilizza bluetooth, è meglio disporre di protezioni in ghisa per contrastare le vulnerabilità note del bluetooth
  • Se il dispositivo viene rubato, il proprietario si affida all'app per dire quale carta è stata persa, il proprietario non sarebbe in grado di effettuare tale determinazione senza tecnologia
  • I ladri che vogliono che il tuo dispositivo card debba rubare anche il tuo telefono, questo potrebbe significare che i proprietari sono a rischio fisico aggiuntivo
  • L'annuncio dice che è possibile aggiungere solo le proprie carte, tuttavia è fondamentalmente uno skimmer per un telefono cellulare. Non c'è motivo per cui qualcuno non possa acquistare uno di questi e aggiungere le tue carte al proprio dispositivo
  • Questa carta ha tutte le carte programmate, tutte selezionabili con il semplice tocco di un pulsante sulla carta, senza alcun tipo di autenticazione

Personalmente ritengo che sia potenzialmente utile e, se vivessi negli Stati Uniti, potrei esaminarlo in quanto la potenziale utilità del dispositivo potrebbe superare i problemi di sicurezza. È completamente inutile per la maggior parte del resto del mondo, quindi, a meno che non riescano a farlo funzionare con chip e pin, non andrà lontano.

    
risposta data 18.11.2013 - 10:07
fonte

Leggi altre domande sui tag