¿El chip-and-PIN hubiera prevenido la violación de Target?

Question

¿El chip-and-PIN hubiera prevenido la violación de Target?

#1 de lxgr (7 votos)
#2 de Tyler Szabo (2 votos)

2

¿El chip y el PIN habrían evitado la violación de Target?

Como todos sabemos, Target fue violado y los hackers robaron muchos números de tarjetas de crédito. Target ahora aboga por el chip y el PIN, como una forma de proporcionar una mejor seguridad para las tarjetas de crédito. Esto me hace preguntarme. Si el chip y el PIN hubieran estado en su lugar, ¿habría evitado la violación? ¿O aún habría sido posible el ataque (simplemente obligando a los atacantes a cambiar un poco sus métodos)? ¿Es esto solo PR, o el chip-y-PIN habría hecho una diferencia significativa en comparación con el tipo de ataque observado en la violación de Target?

Recuerde que, en la infracción de Target, los atacantes pudieron comprometer los terminales de punto de venta de Target: no solo uno de ellos, sino todos. ¿Es seguro el chip y el PIN en ese modelo de amenaza, donde el atacante controla los terminales de punto de venta?

¿Depende de si las tarjetas de crédito contienen tanto un chip como una banda magnética (para compatibilidad con sistemas heredados) o si contienen solo el chip (y no compatibilidad con versiones anteriores)? Mi impresión es que la forma en que se implementa esto es: primero, tenemos tarjetas de crédito que admiten chip y PIN, así como una banda magnética heredada; luego, después de un período de tiempo, cuando hay suficiente despliegue de los terminales de chip y PIN, las compañías de tarjetas de crédito pueden comenzar a proporcionar tarjetas de crédito que solo tienen el chip pero no la banda magnética. ¿Eso afecta el análisis? Por ejemplo, la respuesta es que si las tarjetas de crédito tuvieran tanto el chip como la banda magnética, entonces un terminal de punto de venta comprometido puede robar el número de la tarjeta de crédito y el CVV de la banda magnética y luego clonar la tarjeta, pero si las tarjetas de crédito solo tuvieran un chip, entonces no pudieron?

credit-card smartcard magnetic-stripe-card e-commerce emv

pregunta D.W. 24.05.2014 - 04:40

fuente

2 respuestas

Lea otras preguntas en las etiquetas credit-card smartcard magnetic-stripe-card e-commerce emv

¿Los discos duros de montaje automático son un problema de seguridad? ¿Deben cuidarse los certificados comprometidos caducados si la hora siempre es correcta?

score 7 · Answer 1

Eso depende de lo que quieras decir con "prevenido".

EMV solo se utiliza para transacciones en las que están presentes tanto la tarjeta como el titular; no fue diseñado para mejorar la seguridad de las transacciones no presente (CNP) . Esto tiene algunas implicaciones sobre lo que un atacante puede hacer con los datos de tarjetas de crédito robadas.

Transacciones físicas

Si todos los comerciantes y las tarjetas estuvieran usando EMV exclusivamente hoy, entonces los datos robados de la banda magnética no tendrían ningún valor para las transacciones físicas , simplemente no habría oportunidad de usar una banda magnética clonada.

Las

transacciones EMV están activas en el sentido de que hay una "conversación" entre el chip de la tarjeta y el banco emisor, mediado por el terminal. Básicamente, el banco le pide a la tarjeta que firme los detalles de la transacción mediante una clave criptográfica que nunca abandona la tarjeta. Por lo tanto, se supone que hacer una copia de una tarjeta EMV es imposible. (Las tarjetas de Magstripe son pasivas en el sentido de que cualquiera que conozca el contenido de la banda magnética puede autorizar transacciones; es trivial crear un duplicado de dicha tarjeta).

Desafortunadamente, la EMV está muy extendida, pero aún no es ubicua; Mientras haya un solo cajero automático o comerciante de banda magnética restante en el planeta, las tarjetas seguirán estando equipadas con una banda magnética, y el raspado seguirá siendo un problema.

Transacciones remotas (CNP)

El problema es que los detalles de la tarjeta de crédito en la banda magnética también se pueden usar para transacciones CNP en algunos casos. Las transacciones de CNP generalmente requieren el número de tarjeta, el nombre del titular de la tarjeta y la fecha de vencimiento; Todos esos valores se almacenan también en la banda magnética. Para solucionar este problema, las redes de tarjetas han diseñado el CVC2 / CVV2 ; un número que solo se imprime en la tarjeta, pero no se incluye en los datos de banda magnética.

Sin embargo, no todos los comerciantes usan ese valor, por ejemplo, Amazon (al menos en mi país) no lo requiere. Por lo tanto, alguien que realice un ataque de raspado de tarjetas podría usar los detalles de la tarjeta capturada para realizar compras exorbitantes en cualquier vendedor en línea o por teléfono o correo que no requiera el CVC2 / CVV2.

score 2 · Answer 2

No parece ser así.

Cita del artículo de Brian Krebs El incumplimiento del objetivo, por los números (énfasis mío):

0: la cantidad de tarjetas de clientes que los terminales con chip y PIN habrían podido detener a los malintencionados de robar si Target hubiera puesto la tecnología en su lugar antes de la violación ( sin finalización de El final del cifrado de los datos de la tarjeta, los números de las tarjetas y las fechas de caducidad aún pueden ser robados y utilizados en las transacciones en línea ).