Groupon SG sta memorizzando le informazioni sulla carta di credito dei clienti

Naviga le tue risposte
4

Oggi stavo acquistando un regalo dal sito web di Singapore Groupon. E poi ho capito che quello che devo fare è semplicemente accedere e premere il pulsante "invia ordine", perché memorizzano i dati della mia carta di credito dal mio precedente acquisto.

Per informazioni sulla carta di credito intendo: numero di carta di credito, data di validità della carta di credito e numero di sicurezza dietro la carta (CVV2). Che sono più che sufficienti per un ladro per svuotare il tuo conto in banca (più facilmente se si tratta di una carta VISA Debit).

Sono sicuro che hanno archiviato i dati della mia carta di credito perché ho iniziato con un "browser pulito" utilizzando la navigazione privata di Firefox. Come puoi vedere qui sotto allo screenshot subito dopo aver cliccato su "Acquista" su uno qualsiasi degli accordi, non devo inserire nulla, hanno tutto. Anche loro stanno mostrando la data di validità sullo schermo:

Inqualchemodosocheèillegalearchiviareleinformazionisullacartadicreditodeiclienti,inparticolareperessereprontiperl'usoperilprossimoacquisto(inmodochenondebbanoimmetterenuovamenteleinformazioni).ManonsonoriuscitoatrovarlosuMasterCardoaccordoVISA.

C'èqualcheleggeufficialesuquesto,edovepossiamoriportarequalcosadisimile?

Seèveramenteillegale,vorreichealmenovenisseromultatiperquellochehannofatto.

[EDIT]

Eccocosahannoinseritonellapaginadelledomandefrequenti: link

Is Groupon safe?

Extremely. Your credit card number is transmitted by SSL directly to a secure electronic vault. At no time is your credit card information stored on our servers. Nonetheless, this security only applies if you log out of your Groupon account after use! It is your responsibility to keep your Groupon account secure.

Il fatto è che memorizzano i dati della carta di credito e ti viene persino fornito di registrarti con l'account Facebook. Un semplice clic "connetti a FB" e non dovrai nemmeno inserire alcuna password per caricare la carta di credito.

Anche se è legale, hanno mostrato una certa incuria nella gestione del processo di pagamento. Non forniscono un'interfaccia appropriata per proteggere la nostra sicurezza.

[AGGIORNA dalle ultime risposte] Secondo alcune risposte a questo post, risulta che è legale conservare le informazioni della carta di credito, solo che il sito Web dovrebbe seguire lo standard di sicurezza di PCI-DSS. Ma sembra che non ci sia nessuno responsabile a garantire se ogni sito web segue lo standard?

Non sono sicuro che ciò avvenga solo su Groupon Singapore o in tutti i Groupon in tutto il mondo.

link

    
posta dresden 08.12.2011 - 05:04
fonte

3 risposte

4

Ho inviato un'email al team VISA AIS, ed ecco la risposta:

Grazie per aver contattato il team Visa AIS. Con le informazioni fornite, non siamo in grado di confermare se Groupon memorizza informazioni sensibili sulla carta. L'asterisco potrebbe non rappresentare il CVV2 effettivo e anche il numero di conto della tua carta è mascherato. In caso di dubbi sul proprio conto della carta di credito, si prega di contattare la banca emittente per presentare una dichiarazione di conformità ufficiale. Grazie.

I migliori saluti,

Team AIS

============================

Suppongo che non ci sia davvero nulla che possiamo fare allora. Tuttavia, riuscirò a chiudere il mio account su Groupon.

Grazie Greg per aver condiviso la tua esperienza.

    
risposta data 08.12.2011 - 10:47
fonte
5

Non credo che esistano norme vigenti per impedire l'archiviazione dei dati delle carte di credito oltre a quelli destinati alla protezione contro le frodi. Tuttavia, il PCI-DSS richiede sicuramente una posizione molto più dura contro l'archiviazione, la trasmissione e l'elaborazione dei dettagli della carta di credito. Le sanzioni sono contro il commerciante e possono essere piuttosto severe, quindi ci sono sanzioni basate sul settore per scoraggiare il mancato rispetto.

Se leggi il testo di conformità PCI-DSS, vedrai che un commerciante - con l'infrastruttura ei sistemi di sicurezza corretti in atto - è autorizzato a memorizzare l'intero numero CC, la data di scadenza e il nome sulla carta . NON POSSONO memorizzare la CAV2 / CVC2 / CVV2 / CID in nessuna circostanza (nemmeno in modo criptato). Vedi sezione 3.2.2 del PCI SAQ-D (che è la forma più generale della valutazione PCI-DSS questionario).

Sei sicuro che stiano memorizzando le cifre sul retro della carta? Questa è una violazione molto evidente. Sia VISA che MC hanno metodi per segnalare i commercianti che non aderiscono a PCI-DSS e come marchi globali, vengono applicati a Singapore.

    
risposta data 08.12.2011 - 06:54
fonte
1

Non conosco la posizione PCI-DSS di Groupon, ma potrebbero non gestire le transazioni da soli. Ci sono molte aziende che gestiscono la transazione effettiva e forniscono un IFRAME per essere integrato nell'applicazione del negozio (o reindirizzare al loro sito - ma probabilmente non è il tuo caso). Questo di solito è usato con negozi che non hanno un grande volume di transazioni.

Altrimenti, come notato da Greg, la società potrebbe aver optato per una valutazione PCI-DSS (SAQ D) che è abbastanza completa.

In alternativa, potresti voler verificare se la tua banca emette numeri CC virtuali (ottieni un numero univoco e univoco che consente una transazione di un importo predefinito)

    
risposta data 12.12.2011 - 23:27
fonte

Leggi altre domande sui tag

Puoi passare a C | EH senza alcuna esperienza pratica negli strumenti di hacking Carte di credito monouso sicure