La tienda guarda los datos de la tarjeta de crédito de los pedidos de los huéspedes

Navega tus respuestas
3

Una tienda web permite a los clientes realizar pedidos como invitados o crear una cuenta.

  1. Ordené como invitado, ingresé mi dirección de correo electrónico y la dirección de envío y pagué con tarjeta de crédito (tuve que ingresar el código de seguridad).

  2. Algunas semanas después, ordené algo más, nuevamente como invitado. Para mi sorpresa, después de ingresar mi dirección de correo electrónico y dirección de envío, pude seleccionar la tarjeta de crédito que usé en el pedido anterior.

    Mostró el emisor de la tarjeta de crédito, el nombre del cliente de la tarjeta de crédito, 4 dígitos del número de la tarjeta de crédito y la fecha de vencimiento.

    Lo seleccioné, y funcionó. No tuve que ingresar ni confirmar nada (ni siquiera el código de seguridad; pero este no parece ser necesario de todos modos).

Probé si está relacionado con una cookie (no, también funciona desde una PC diferente) y si los datos deben ingresarse exactamente de la misma manera (no, solo verifica la dirección de correo electrónico).

Supongo que esto es malo , ¿no?

Tengo la intención de contactar al propietario de la tienda, pero quiero estar preparado en caso de que no estén de acuerdo en que esto sea un problema. ¿Debo también comunicarme con la compañía de tarjetas de crédito, o este proceso está permitido de acuerdo con sus reglas (guardar y permitir usar una tarjeta de crédito sin autenticación; mostrar algunas partes de los datos de la tarjeta de crédito sin autenticación)?

    
pregunta unor 27.02.2015 - 19:49
fuente

2 respuestas

5

Esto no es solo malo, esto es un desastre. El solo hecho de saber la dirección de correo electrónico de alguien te permite comprar cosas con su tarjeta de crédito si es el desafortunado cliente de este horrible sitio.

O bien están almacenando los datos completos de la tarjeta de crédito en formato reversible, y dado que este desastre de seguridad se pasó por alto, no me sorprendería que se guardara en texto sin formato ni siquiera un intento de cifrado (no es que esto cambie mucho si todo el servidor está comprometido de todos modos).

Otra posibilidad menos aterradora sería que solo almacenan una referencia en la tarjeta, mientras que la tarjeta real se almacena (de forma más segura) en el lado del proveedor de pagos. En este caso, el "comprar algo en nombre de otro con su correo electrónico" sigue en pie, pero al menos si están comprometidos, los datos de su tarjeta no salen a la luz.

Si puede ver qué es su compañía de procesamiento de tarjetas de crédito, debe informárselo, cancelarán rápidamente su cuenta mientras lo resuelven. Y, por favor, expóngalos a los delincuentes de texto simple , ya que esto es incluso peor que las contraseñas de texto simple.

    
respondido por el user42178 27.02.2015 - 20:12
fuente
0
I guess this is bad, right?

edit:

Según la nueva información, solo la dirección de correo electrónico, no la dirección física, es el autenticador que utiliza el comerciante ...

Todavía es ligeramente malo.

No están violando ninguna ley. No están violando el PCI DSS ni ninguna otra regulación de marca de tarjeta que yo sepa. Están incrementando drásticamente la probabilidad de que se realicen compras fraudulentas en su sitio, lo que aumenta su responsabilidad de devolución de cargo y (luego de suficientes abusos) potencialmente su capacidad para procesar los pagos con tarjeta.

Es malo para usted que alguien pueda cargar fraudulentamente su tarjeta. Luego deberá notarlo en sus declaraciones y solicitar una devolución de cargo. Recibirá su dinero de vuelta, así que al final, es un inconveniente en lugar de una tragedia. Probablemente votará con sus pies y no usará a ese comerciante. Lo que también daña al comerciante.

Si desea ayudar a otras personas a evitar ese posible destino, puede dar a conocer el nombre del comerciante. Probablemente, eso es lo único que los llevará a cambiar sus prácticas.

respuesta original:

Ligeramente, pero ¿para quién?

No creo que haya una violación de las PCI DSS aquí. El comerciante está en el gancho para autenticar su identidad antes de cargar su tarjeta. Claramente lo están haciendo de alguna manera; quizás consideren el uso de la misma dirección de correo electrónico y dirección de envío como "autenticación". Pero el DSS no establece requisitos sobre cómo los comerciantes autentican a los clientes, por lo que quizás ese sea un método válido.

El almacenamiento de su tarjeta (encriptado o tokenizado) es completamente legítimo. El almacenamiento en texto plano y la visualización de los primeros 6 y los últimos 4 dígitos son completamente legítimos. De la información que ha proporcionado, no tiene ninguna indicación de que el comerciante esté haciendo otra cosa que no sea el almacenamiento y el uso de la tarjeta de una manera compatible con el PCI DSS.

Son responsables de cualquier cargo fraudulento a su tarjeta, y comen la devolución de cargo si alguien abusa de ella (por ejemplo, ingresa su correo electrónico y su dirección y luego toma el paquete cuando el cartero lo deja). Pero ese es un escenario bastante limitado, no es utilizable por extraños al azar en Internet. Este vector de ataque no permite que alguien recupere su información, su número de tarjeta o que envíe a cualquier lugar que no sea su dirección de envío conocida.

Si las personas abusaron de esto con regularidad, los números de devolución de cargo del comerciante aumentarán, la puntuación de riesgo aumentará y su procesador los eliminará. En ese momento, es ciertamente malo para el comerciante.

Mientras tanto, estás protegido. Las compañías de tarjetas cobrarán de vuelta cualquier reclamo en disputa contra su tarjeta y le devolveremos su dinero. Es por eso que está dispuesto a usar una tarjeta de crédito, debido a la conveniencia y las protecciones que le ofrece. Si el comerciante está haciendo algo que finalmente los lastimará, bueno, eso será la propia policía.

    
respondido por el gowenfawr 27.02.2015 - 20:25
fuente

Lea otras preguntas en las etiquetas

¿Los ataques de tiempo de comparación de cadenas son prácticos en las redes públicas? En una red monitoreada, ¿pueden los administradores saber si se está utilizando Tor?