יום חמישי, פברואר 16, 2012

מספר ימים מיוחדים ואירועים קוסמיים וטעות במערכות האשראי נוצרה.


אם אפשר קצת סדר על חיובים , הרבה דיברו על פרסום המידע האישי של הרבה אנשים אבל מעט דיברו על מה אפשר לעשות עם המידע הזה, בקיצור אין לכם ממה לפחד אנשים סתם מדברים ואין להם מושג מה הם אומרים.


מה הסכנה אם יש רק מספר כרטיס מלא ללא CVV ?
אין שום סכנה , זה שיש לפחות מערכת סליקה אחת שנתקלתי בה שמאפשרת ביצוע פעולה ללא  cvv זה פשוט מקרה מצער (זה בטוח לא יקרה שוב) , כנראה היה אוסף של מקרים פתאומייםשגרם לטעות בחומרה שגרמה לעוד צרות לכך שבגלל המקריות הזו ברגע הקטן ההוא המידע שהיה צריך בשביל לבצע עיסקה מרחוק  היה :
  1. מספר כרטיס אשראי 
  2. תאריך פג תוקף
  3. מאפיין מזהה : 
  • מספר זהות של האדם עליו רשום כרטיס האשראי 
  • שמו המלא בעברית לשם ביצוע הפעולה.
והיו כנראה באגים מיוחדים ואירועים קוסמיים מיוחדים כי התבצעו מספר עסקאות שונות בכרטיס אשראי ישראלי והם עברו בצורה תקינה - זה בטוח ישתנה למצב תקין מאוד מהר. כלומר שבעקבות המקרה (הבטוח חד פעמי) ניתן היה להתקשר ולהתחבר לאתר למלא פרטים על תשלום של מישהוא אחר והעיסקה התבצעה.


האם ניתן לבצע חיוב או העברה לכל בית עסק ? 
לא , ניתן לבצע חיוב רק עם אפליקציות מאושרות עם מערכת  הסליקה (רשימה לבנה).
האם ניתן להשתמש במספר כזה אצל כל בית עסק לביצוע עסקה (לקפוץ לאיזה חור ולהפעיל את זה על מכונות סליקה)?
לא , רוב מערכות מערכות הקצה אוסרות את ביצוע פעולה ללא CVV, אבל אף מוכר או מפעיל לא יתן לך לעבוד בחנות שלו. כל אדם (מנהל חנות למשל) דואג להגדיר כי כל פעולות הסליקה יבצעו בדיקת תקינות נוספת לפני ביצוע החיוב עצמו כי תרבות הסמוך עברה מן העולם, כל האנשים שמחזיקים עסקים דואגים לאבטחת מידע ולאבטחה פיזית של הציוד שברשותם.

זה שבחלק ממערכות החיוב ניתן להשתמש בקוד מיוחד על מנת להגדיר כי לא התבצע בדיקה על CVV זה פשוט מקרה מצער ומשהוא שכמעט אף אחד לא יודע את זה. ובשביל פעולה כזאת יש צורך בקשר ברמת ה IP על מסופי  הסליקה (המסוף עצמו) וזה בטוח לא יקרה כי כל המערכות מאובטחות כמו שצריך.
האם ניתן לשלם עם אשראי של צד א'  על עסקה שקשורה לאדם צד ב' ?
 לא , זה שהצלחתי לבצע חיוב באמצעות כרטיס אשראי ללא מסירת CVV או המצעות פיזית במקום  עבור צד ב' זה היה פשוט שגיאה ארעית פעולה מכוח עליון - זה לא יכול לקרות שוב שמישהוא יוכל לשלם בכרטיס אשראי בטלפון חשבון של צד אחר עם כרטיס של מישהוא אחר.
אם רוצים למתוח משהוא האם אפשר לחייב אותו על משהוא ?
לא , בשביל זה אתם צריכים רצון ויכולת  להוסיף שורת טקסט בקובץ CSV שמאוחסן במחשב שמריץ תוכנה שמבצעת את הסליקות לפי הזמנים, וזה בעייה מאוד רצינית.

מאיפה ימצאו את מספר תעודת הזהות שלי / כתובת שלי בשביל AVS ?
אף אדם שרוצה לגנוב כסף לא יחזיק או יחפש את מרשם האכלוסין ורשויות החוק עובדות ויתפסו את כל הפושעים שמחזיקים במאגרים כאלה.

מה חברות האשראי אומרת על זה שפרטי האשראי כולל תוקף מאוחסנים בצורה פתוחה לכל דורש (מודפסת על דוח שנשמר בדלפק/ הדפסת פרטי אשראי כולל תוקף ומספר מלא על חשבוניות) ?

פניתי ביוזמתי לאחת מחברות האשראי במייל ולא קיבלתי תשובה עד היום (עבר מעל לחודש) אבל הם בטוח יחזרו אלי זה בטח בעייה עם התוכנה שלי שלא קיבלתי תשובה.

מה אכפת לי יש לי כרטיס שתומך ב biometric payment

אין לכם מה לדואג , המאגר הביומטרי לכשיוקם יהיה מאובטח ברמה 11 , קראו את המאמר המצויין שיש ב חדר404.
 
בקיצור אין לכם שום סיבה לדואג מכל מני האקרים סעודים שמפרסמים מספרים שאף אחד לא באמת משתמש בהם.

-- עריכה -- על מנת להבין לעומק יש לקרוא את כל הטקסט ולא רק את החלקים המודגשים.

אין תגובות:

הוסף רשומת תגובה