id: Гость   вход   регистрация
текущее время 06:59 12/07/2020
Автор темы: Гость, тема открыта 03/11/2010 15:33 Печать
Категории: приватность, инфобезопасность, защита сети, прослушивание коммуникаций
http://www.pgpru.com/Форум/АнонимностьВИнтернет/БезопасностьПередачиДанныхПростымТекстомВБраузереданныеКредКарт
создать
просмотр
ссылки

Безопасность передачи данных простым текстом в браузере (данные кред. карт)


Работаю в отеле. Имеется сторонний сервис бронирования сайтов (специальный движок, который встроен в наш сайт, помогающий гостям бронировать номера). В процессе бронирования, гость переходит на сайт, который в браузере отображается как шифрованный (https) и вводит данные кредитной карты и прочие персональные данные. И завершает процесс бронирования кнопкой "Забронировать"


Здесь особых вопросов нет.


Вопрос в другом: списание с кредиток происходит вручную сотрудниками на странице компании, обслуживающей этот движок. Заходим по паролю и логину. Там список гостей и их бронирования. Рядом – ссылка, которая открывает отдельное окно. В нём данные кредитной карты, CVC, срок действия, имя держателя. Значка https при этом нет. Всё текстом.


Комментарий специалиста той компании, следующий: "Так как в экстранете не вводится информация, требующая шифровки, использовать https нет необходимости"


Насколько безопасен такой способ передачи данных карт?


 
Комментарии
— Вий (03/11/2010 17:48)   профиль/связь   <#>
комментариев: 510   документов: 110   редакций: 75
Думаю безопасность в данном случае стремится к нулю.
— Гость (03/11/2010 17:59)   <#>
Не могли бы вы пояснить, почему? Мне необходимо будет обосновать свою претензию разработчикам такого сервиса )
— sentaus (03/11/2010 18:21)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
В нём данные кредитной карты, CVC, срок действия, имя держателя. Значка https при этом нет.

Собственно вот. Всё это передано открытым текстом.
— Гость (03/11/2010 18:43)   <#>
Какой наиболее вероятный канал перехвата? Получается, что с нашей стороны. Например, какой-нибудь троян?
— BrainSlug (03/11/2010 19:00, исправлен 03/11/2010 19:03)   профиль/связь   <#>
комментариев: 60   документов: 1   редакций: 1

Причем тут троян? Любой снифер на протяжении всего канала, Вы – ваш провайдер – провайдер сервиса – сервис, получит данные as is. А обосновать просто – запустить, к примеру, wireshark, отправить эту самую форму с номером карты и CVC, и тут же вытащить их логов перехвата. После чего разработчика ткнуть рожей в это дело.
ЗЫ. вопреки всеобщему мнению, CVC не всегда нужен, на некоторых интернет магазинах можно покупать, просто введя номер карты, если, конечно она открыта для интернета и имеет нужный баланс. Так что сам номер карты я склонен относить в разряд тайны. Для этого собственно paypal и есть.

— Гость (03/11/2010 20:00)   <#>
Напомните специалисту, что передача информации носит двухсторонний характер не только ввод, но и вывод.

Одна из моделей угроз в вашем отеле, например, подкючение к интернету через безпроводку WiFi. При желании можно контролировать трафик в вашей беспроводной сети в том числе и данные клиентов.


Статья 857. ГК РФ
1. Банк гарантирует тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте.

То есть по комментарию специалиста они нарушают Гражданский кодекс РФ.

Потребуйте у компании написать вам бумагу, что они гарантируют безопасность передачи данных и спите спокойно.
— Migel (03/11/2010 20:04)   профиль/связь   <#>
комментариев: 90   документов: 0   редакций: 0
Потребуйте у компании написать вам бумагу, что они гарантируют безопасность передачи данных и спите спокойно.

Ага, а потом какой-то школьник проснифит траффик, и будет тратить деньги... Зачем отелю скандал?
Просто предьявите претензии тем "гениям от безопасности" и пусть переделывают.
Хотя, тут безопаснее обратится к другой фирме, по деньгам дороже, зто точно будте спокойно спать.
— Гость (03/11/2010 20:51)   <#>
Действительно, в нашем отеле имеется Wi Fi со свободным доступом. Получается, любой сидя на улице, может получить доступ к передаваемой информации, в том числе к банковской информации?
— BrainSlug (03/11/2010 23:45)   профиль/связь   <#>
комментариев: 60   документов: 1   редакций: 1
Именно.
— ZiggZagg (05/11/2010 23:41)   <#>
Номерам кредитных карт вообще не безопасно в интернете. Из принципа ничего не оплачиваю по карте, так как один безпалевный троянчик с руткитом на компе, попавший через 0-day уязвимость – и кредитка уже не моя))
— Вий (07/11/2010 05:41)   профиль/связь   <#>
комментариев: 510   документов: 110   редакций: 75
Я думаю суть даже не только в том, что реквизиты карт помуг быть доступны посторонним лицам, поскольку они передаются по незащищенным каналам, а и в том, что они доступны работникам банка в разрезе самой схемы работы по умолчанию. Никто не может поручиться за то, что кто-либо из них однажды не захочет воспользоваться ими сам, либо под чьим-то давлением. Насколько мне известно практически любые банки пишут в "памятках безопасности" использования карт о том, что реквизиты не должны быть доступны кому-либо, вроде того "Не оставляйте свою карту без присмотра", "Не позволяйте уносить ее из вашего поля видимости" в отношении продавцов магазинов и т.п. Все данные должны идти только по зашифрованным каналам, а продавец товаров/услуг в автоматизированным режиме должен получать ответ банка о возможности оплаты, это в идеале конечно, опуская технические тонкости. Владельцы платежных систем внедряют хоть и критикуемые системы защиты типа 3D Secure, которые должны обеспечить еще большую защищенность и т.п. А у Вас вот они все данные карт. Посмотрите в интернет о схемах работы с картами, о их безопасности, материалов достаточно много.
— Гость (07/11/2010 14:18)   <#>
Кстати, маленький момент. Хранить CVV2/CVC2 запрещено. Вообще. Могут быть проблемы, штрафы...
— гражданский (28/11/2011 16:41, исправлен 28/11/2011 16:43)   профиль/связь   <#>
комментариев: 1   документов: 0   редакций: 0

CVV конфиденциальная информация и человек сказавший вам что канал не должен шифроваться не прав!


Выше Брайн уже написал про сниферы.


Есть такой вид мошенничества, когда клиент вводит данные своей кредитной карты или их попросту воруют поставив выше указанное ПО во внутренней сети.


При заказе товаров и оплате услуг, надо внимательно следить за адресной строкой браузера. На страницах, где вводится личная информация, протокол обмена должен быть обязательно https:.


Сертификат сайта — соответствовать имени сайта. Современные браузеры отмечают несоответствие сертификата строгими предупреждениями и красной адресной строкой, но пользователи старых версий могут попасться на этот вид взлома.

— Гость (28/11/2011 16:51)   <#>
Спасибо, Кэп!
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3