« Home | URL Filtering גישה נוספת לתחום רווי פתרונות » | פתרונות חיפוש לעסקים - Google » | המקום שבו אנחנו מתחילים להיכשל - הירוקים » | אבטחת מידע למנהלים - לפני המכונות » | שדרוג המשרד הביתי שלי - Multiplicity » | 802.1x - אנדרלמוסיה בHIGH-END » | האם UTM-1 תומך חלונות ? » | MSN Messenger רק קצת יותר נקי » | קצת Blog-Tagging . » | אבטחת מידע SMB »

אוכלים במסעדות ? פרצת אבטחה

אתמול בערב , יצאנו אני ובת זוגתי לארוחת ערב חביבה באחת המסעדות האהובות עלינו , כדי לטעום קצת מהמטבח היפני המשובח. ואכן היה כך , האוכל היה מעולה והחשבון היה גבוה יחסית כבכל מקום שבו השף לובש בנדנה עם אותיות מדיאלקט לא נודע.

ובכן , בסוף הארוחה הגשתי את כרטיס האשראי שלי על מנת לשלם את החשבון , וכפי שקורה מידי פעם - קיבלתי את נייר החשבון בצורה שאני מאוד מתנגד אליה , ומופיעה במקומות רבים אשר רובם - מסעדות.

על מה בעצם אני מדבר ...
כאשר המלצר או בעל העסק מעביר את כרטיס האשראי שלך , מתבצעת סליקה מיידית של החשבון אל מול חברות אשראי שונות כגון SHVA או חברות אחרות אשר ייעודן הוא בעצם לבצע טיוב עסקאות אשראי בזמן אמת על מנת לגבות ולתקף את העסקה אל מול הלקוח ללא ביצוע עתידי. כלומר - פרטי האשראי מועברים בזמן אמת ונבדקים , ולאחר מכן אין בהם עוד צורך.

במסעדה שאכלנו אתמול ( וזו לא המסעדה היחידה שראיתי את זה בה ) הוגש לנו החשבון לחתימה כאשר הפרטים הבאים היו עליו :
תוקף הכרטיס
מס מלא !!! של כרטיס האשראי
וברגע שהייתי חותם עליו - גם שמי.

למעשה , כל אדם בעל גישה לאותה פיסת נייר שהייתי משאיר בעוזבי את המסעדה , או מלצר ממורמר - יכלו בקלות לקחת ממני את הפרטים ולרכוש בצורה מקוונת באינטרנט או בכל מקום אשר נדרשים רק פרטים מזהים של כרטיס - לרכוש על חשבוני ככל שיעלה על רוחם ועד גובה הקרדיט המגיע לי. מובן שאת מס תעודת הזהות היו צריכים להשיג , אבל בואו נהיה כנים - זה לוקח 5 דקות גם למי שאינו מכיר ברזי כריית המידע.

מה שהיה צריך לקרות בפועל , הוא שהפתק אשר אני מקבל מכיל רק 4 ספרות אחרונות מפרטי כרטיס האשראי שלי , ועל פי כן לא ניתן לגלות את כל המספר - וזה אכן מה שקורה ברוב בתי העסק . אבל בשל חוסר זהירות של הלקוח , וחוסר אמינות מסויים מאת המסעדן - קורה מצב בו אחד הפרטים החשובים ביותר שאדם נושא עמו - הופך לאלמנט קל לגניבה.

מובן שמדובר בחוסר מודעות ותכנון לקוי של מערכות הסליקה , אבל אולי פה מתחיל הפתרון - תוציאו גרסאות מעודכנות לקופות הרושמות ! חברות שונות אשר זה כל ייעודן לא יכולות לתת לחברות אשר אותן הן משרתות לפגוע במוניטין שלהן על ידי חשיפת מידע רגיש בצורה כל כך פשוטה.

Labels: ,

Syndication : Digg It  Add to Technorati Favorites  Stumble It  Worth Reading 

אז אל תאכל במסעדות.
נתת את הכרטיס למלצר, הוא יכול להעתיק את המספר המלא והשם? יותר מזה, הוא יכול להעתיק את ה-PIN של 3 ספרות בחלק האחורי של הכרטיס? יכול. אז המלצר/קופאי/מסעדן הוא לא גורם איום כי אם הוא כזה הוא יכול לנצל את הכרטיס שלך גם קודם.
שנית, אם אתה חותם את שמך המלא זו בעיה שלך, תחתום בקשקוש כמו כל אחד אחר. אגב אין לזה שום משמעות מכיון שלרוב כשאתה קונה בטלפון הם לא בודקים את השם, רק ת.ז., וזה נתון שאין כרגע למלצר המרושע שלנו.
שלישית, אני לא יודע כמה אתה מכיר את סכמת המספור של כרטיסי אשראי, אבל בחלקם החלק היחיד שסודי הוא 4 הספרות האחרונות, היתר הם לעתים לפי סכמה קבועה שקל לפענח.
ואחרון חביב - בשביל זה יש לכרטיס האשראי ביטוח, בדיוק בשביל שימושים בלתי חוקיים כאלה.

נראה לי שאתה טועה קצת -
תמיד יש את מספר הכרטיס על הטופס לאישור. לא חושב שראיתי אי פעם טופס ללא המספר.

אתה מתכוון לספח - עותק של הלקוח - שאכן מכיל פחות ופחות את מספר הכרטיס המלא.

אודי

בדיקת מערכת התגובות [מותר?]

עכשיו אחרי הבדיקה אני יכול לבשר לך שיש בעיה בתגובות בפוסטים שנכתבו אחרי הפוסט הזה.

לטיפולך.

Post a Comment

About

    My Name is Barry Shteiman, im a devoted tech junkie, and this is my blog.
    E: barry.shteiman -at- gmail.com
    Twitter : bshteiman

Tags & Categories

Mailing List & RSS

Stay Updated  
Add to Technorati Favorites