Il negozio salva i dati della carta di credito dagli ordini dei clienti

3

Un negozio web consente ai clienti di ordinare come ospite o creare un account.

  1. Ho ordinato come ospite, inserito il mio indirizzo email e l'indirizzo di spedizione, e pagato per carta di credito (ho dovuto inserire il codice di sicurezza).

  2. Alcune settimane dopo, ho ordinato qualcos'altro, di nuovo come ospite. Con mia sorpresa, dopo aver inserito il mio indirizzo email e l'indirizzo di spedizione, ho potuto selezionare la carta di credito che ho usato nell'ordine precedente.

    Indicava l'emittente della carta di credito, il nome del cliente della carta di credito, 4 cifre del numero della carta di credito e la data di scadenza.

    L'ho selezionato e ha funzionato. Non ho dovuto inserire o confermare nulla (nemmeno il codice di sicurezza, ma questo non sembra richiesto comunque).

Ho verificato se è collegato a un cookie (no, funziona anche da un PC diverso) e se i dati devono essere immessi esattamente nello stesso modo (no, controlla solo l'indirizzo email).

Immagino che questo sia cattivo , giusto?

Intendo contattare il proprietario del negozio, ma voglio essere preparato nel caso in cui non concordino che questo è un problema. Devo contattare anche l'azienda della carta di credito o tale processo è consentito in base alle loro regole (salvare e consentire l'utilizzo di una carta di credito senza autenticazione, mostrare alcune parti dei dati della carta di credito senza autenticazione)?

    
posta unor 27.02.2015 - 19:49
fonte

2 risposte

5

Questo non è solo cattivo, questo è un disastro. Solo conoscendo l'indirizzo email di qualcuno ti permette di comprare cose usando la sua carta di credito se è il cliente sfortunato di questo sito orribile.

Stanno memorizzando i dati completi della carta di credito in formato reversibile e, dato che questo disastro di sicurezza è stato trascurato, non sarei sorpreso se fosse stato memorizzato in testo normale senza nemmeno alcun tentativo di crittografia (non che questo cambierebbe molto se l'intero server è comunque compromesso.

Un'altra possibilità meno spaventosa sarebbe che stanno memorizzando un riferimento alla carta, mentre la carta effettiva viene memorizzata (più saldamente) dal lato del fornitore di pagamenti. In questo caso, il "comprare qualcosa per conto di altri con la loro email" è ancora valido, ma almeno se vengono compromessi i dati della tua carta non escono allo scoperto.

Se riesci a vedere qual è la loro società di elaborazione delle carte di credito, dovresti segnalarlo a loro, essi annulleranno rapidamente il suo account mentre lo risolvono. E per favore esponeteli a Plaintext Offenders , in quanto è persino peggio delle password in chiaro.

    
risposta data 27.02.2015 - 20:12
fonte
0
I guess this is bad, right?

modifica

In base alle nuove informazioni che solo l'indirizzo email, non l'indirizzo fisico, è l'autenticatore utilizzato dal commerciante ......

È ancora solo leggermente male.

Non stanno violando nessuna legge. Non stanno violando lo standard PCI DSS o qualsiasi altro marchio di cui sono a conoscenza. Stanno aumentando drasticamente la probabilità che vengano effettuati acquisti fraudolenti sul loro sito, il che aumenta la loro responsabilità di chargeback e (dopo un numero sufficiente di abusi) potenzialmente la loro capacità di elaborare i pagamenti con carta.

È dannoso per te nel fatto che qualcuno potrebbe addebitare fraudolentemente la tua carta. Dovrai quindi accorgertene nelle tue dichiarazioni e richiedere un chargeback. Riceverete indietro i vostri soldi, quindi alla fine è un inconveniente piuttosto che una tragedia. Probabilmente voterai con i tuoi piedi e non usare quel mercante. Che danneggia anche il commerciante.

Se vuoi aiutare altre persone a evitare quel potenziale destino, puoi pubblicizzare il nome del commerciante. Probabilmente è l'unica cosa che li porterà a cambiare le loro pratiche.

risposta originale:

Dolcemente, ma per chi?

Non penso che ci sia una violazione del PCI DSS qui. Il commerciante è pronto ad autenticare la tua identità prima di caricare la tua carta. Chiaramente lo stanno facendo in qualche modo; forse considerano l'uso dello stesso indirizzo email e indirizzo di spedizione come "autenticazione". Ma il DSS non stabilisce i requisiti su come i commercianti autenticano i clienti, quindi forse questo è un metodo valido.

La memorizzazione della carta (crittografata o tokenizzata) è completamente legittima. L'archiviazione in testo semplice e la visualizzazione delle prime 6 e ultime 4 cifre sono completamente legittime. Dalle informazioni che hai fornito, non hai alcuna indicazione che il commerciante stia facendo qualcosa di diverso dall'archiviazione e dall'uso della scheda in un modo conforme allo standard PCI DSS.

Sono responsabili per eventuali addebiti fraudolenti sulla tua carta e mangeranno il chargeback se qualcuno abusa di questo (ad esempio, inserisce la tua email e il tuo indirizzo e poi afferra il pacco quando il postino lo interrompe). Ma questo è uno scenario piuttosto limitato, non è utilizzabile da estranei casuali su Internet. Questo vettore di attacco non consente a qualcuno di recuperare le tue informazioni, il tuo numero di carta o di spedire ovunque tranne il tuo indirizzo di spedizione conosciuto.

Se le persone abusavano regolarmente di questo, i numeri di chargeback del commerciante aumenterebbero, il punteggio di rischio salirà e il processore li abbandonerà. A quel punto, è certamente un male per il commerciante.

Nel frattempo, sei protetto. Le società di carte ripagheranno qualsiasi reclamo contestato contro la tua carta, e avrai i tuoi soldi indietro. Ecco perché sei disposto ad utilizzare una carta di credito, per la comodità e le protezioni che ti offre. Se il commerciante sta facendo qualcosa che alla fine farà male a loro, beh, questo si controllerà da solo.

    
risposta data 27.02.2015 - 20:25
fonte

Leggi altre domande sui tag