it-swarm-eu.dev

Je to stále nebezpečné e-mailem číslo kreditní karty v dnešní době?

Všichni víme, že to neuděláme, ale někdo mi poslal e-mailem číslo své kreditní karty a kód cvv na můj gmail.

Zajímalo by mě, jestli je riziko tak nízké, že nemusím volat, abych zrušil svou kartu.

E-mail je odesílán z uznávaného e-mailového účtu poskytovatele ISP prostřednictvím jeho ADSL dialupu (ISP je největší v zemi) na mou gmail adresu. Lze bezpečně předpokládat, že ISP připojený k páteři doručí e-mail na server gmail, aniž by prošel nezabezpečeným počítačem? Takže nemusím kartu rušit?

29
Anddd

Uvidíme:

I když to, co říkáte, je správné a ISP je solidní jako rock

  1. Věříš tomuto "někomu"? Pokud odpověď není, zrušte v každém případě kreditní kartu.

  2. Číslo vaší kreditní karty + CVV je nyní v této složce „Odesláno“ této osoby, pokud bude jeho poštovní schránka napadena hackerem, bude vás mít CC.

  3. Informace o vaší kreditní kartě budou navždy uloženy na serverech Google

  4. Zruším to
41
AaronS

E-mail není bezpečný způsob sdílení čísel kreditních karet

Metoda, kterou popisujete, není z různých důvodů bezpečná. Tyto zahrnují:

Odesílání čísel v prostém textu není bezpečné

Technika, kterou jste popsali, mohla zahrnovat zasílání čísel karet ve formátu prostého textu (akt odeslání e-mailu z počítače na poskytovatele internetových služeb). To není bezpečné. Mohlo to být vyzvednuto různými způsoby

E-maily přetrvávají na více místech

Toto číslo kreditní karty může nyní existovat na více místech

  • Ve složce „odeslané“ počítače, ze kterého byla odeslána
  • Na serverech ISP
  • V účtu Gmail

Teď to jsou jen 3 místa, která by mohla být uložena, když vezmete v úvahu zálohy, mohlo by se jich po celém světě šířit mnoho, mnoho kopií vašich čísel.

30
Andy Smith

Myslím, že výše uvedené odpovědi jsou správné a zasílání podrobností o kreditní kartě prostřednictvím e-mailu je nejisté. Protože jste se však zvlášť zajímali o odposlech v tranzitu, než o různá úložiště uvedená v jiných odpovědích, stojí za to alespoň zvážit protichůdné stanovisko:

Zvažte strom útoku:

Pevné sítě (uvnitř podnikové):

  • Útočník by musel porušit fyzickou kontrolu přístupu (nebo být opravářem fotokopie) nebo být zasvěceným
  • Nechte se projít NAC (ale většina společností to nemá) nebo mít pracovní stanici
  • V síťových sítích (všechny moderní korporace) nemáte přístup k velkému množství přenosů
  • Musíte tedy získat přístup ke směrovači nebo přepínači, za předpokladu, že nejste síťovým administrátorem, což znamená zneužití nesprávné konfigurace zabezpečení nebo zranitelnosti (v pořádku neexistují žádné problémy s metasoužitím, většina organizací saje při opravě zejména síťových zařízení), ale řekněme, že posloucháte Cisco/Juniper atd. A opravujte každé 3 měsíce (přinejmenším opravdu špatné věci) nebo tak a vše ověřujete alespoň na serveru RAS)
  • I když můžete získat přístup, otravu ARP, otravu mezipamětí cokoli, pak máte další problém: svazek. Existuje peklo spousty dat, které se dostanou k hlavnímu routeru nebo přepínači klíčů. Mnoho z nich má nyní gigabit a to znamená pití z firehose. I s legitimním síťovým DLP monitorem potřebujete vysoce výkonný reassembler paketů, dobrý hardware a software a schopnost efektivního přizpůsobování vzorů. E-mail toho generálního ředitele je tedy velmi tvrdý, takže liché heslo pravděpodobně není tak špatné
  • Tato data jsou také přechodná - jakmile jsou pakety pryč, jsou pryč (i když se přihlášení admin může stát často), ale je zde omezené okno možností
  • Případně byste mohli udělat to, o čem jsem hovořil dříve, a který umístil sniffera na krabici, kterou chcete sledovat, znovu, i když stejný problém předpokládá přiměřený přístup, což je chybná konfigurace nebo zranitelnost zabezpečení nebo nedostatek ovládacích prvků proti malwaru. Také u prvních dvou je to mnohem cílenější útok

Veřejné sítě:

  • Vypadá to, že je mnohem jednodušší cíl - již nemůžete mít pohodlí ohledně řízení přístupu k prostředním krabicím nebo síťovým zařízením
  • Ale podívejme se na něco jako e-mail - většina agentů přenosu pošty (MTA), včetně těch velkých, jako je Google, nyní používá optimistické TLS, což znamená, že většina vašeho e-mailu, který pravděpodobně obsahuje vaše nejcitlivější informace, bude pravděpodobně při přenosu šifrována aniž byste museli dělat nic víc
  • I sdílené sítě MPLS mají značení VLAN)
  • Opět máte problém s firehose, ale milionkrát horší a přechodnou informační stránku
  • Podívejte se, kolik skutečných zneužívaných incidentů zjistíte na datalossdb.org nebo incidentech s webovou aplikací na zachycení dat v tranzitu

Bezdrátová síť:

  • Společnost: WPA2 je de facto standard, není dokonalý, ale šifrování získáte, aniž byste dělali cokoli
  • Domů/Starbucks atd.: Toto je legitimní riziko ve skutečnosti nejlepší a jediný příklad, který OWASP dává ne. Chybějící šifrování přenosu je zachycení v nezabezpečené domácí bezdrátové síti - peklo to zvládnou i auta Google na ulici. Ale i zde většina/všechny podniky, které poskytují vzdálený přístup, poskytují VPN, takže potřebujete ještě něco?

Celý příspěvek na blogu: http://www.rakkhis.com/2010/08/why-ssl-is-just-not-that-important.html

Pravděpodobně byste měli kartu stále zrušit, ale s ohledem na další ovládací prvky, jako je limit na kartě, pokud máte povoleno 3D zabezpečení (např. Ověřeno vízem), sledujete své výkazy, své systémy detekce podvodů bank; pokud to činí riziko v rámci vaší chuti k riziku, můžete se rozhodnout, že riziko odposlechu během přepravy nebo skladování je dostatečně nízké, abyste je mohli přijmout.

12
Rakkhi

Poštovní servery společnosti Google podporují AUTH TLS podle preferencí, takže existuje dobrá šance, že vaše kreditní karta byla při přenosu šifrována. Nyní máte opět uložená data „track 2“, která by neměla být, konkrétně vaše CVV.

Pokud je tato kreditní karta ve skutečnosti debetní kartou, určitě bych ji okamžitě zrušil. Kreditní karty mají docela dobrou ochranu/bezproblémovou činnost v souvislosti s podvodnou činností. Určitě bych se cítil nesvůj a vy se pravděpodobně budete také cítit neklidně, protože byste otázku nezveřejnili, takže bych pravděpodobně jen dostal kreditní kartu znovu vydanou.

Pokud je tento „obchodník“ obchodníkem, možná s ním nebudete chtít obchodovat, pokud jsou s vašimi údaji o držiteli karty tak kavalírní. Pokud je tato osoba důvěryhodná, musíte poslat e-mailem důvod, proč vám byla vaše karta předána, a tento proces opravit.

6
M15K

Stále bych vám radil, abyste vyměnili svou kartu za bezpečnou stranu, ale pokud to byla moje karta, tak bych se o to nestaral.

Zjevně byste neměli zbytečně zvyšovat riziko své kreditní karty, ale se vším, co bylo řečeno, vyměňujete svou kartu pokaždé, když zaplatíte v restauraci a číšník odejde s vaší kartou a přinese ji zpět?

Když v tomto konkrétním případě, který jste popsali, zvážíte přidané riziko pro vaši kartu, myslím, že stojí za zvážení dalších rizik pro vaši kartu během jejího používání (obvykle po dobu několika let). Další scénáře použití karty obvykle zahrnují:

  • Restaurace/Bary - už jste nikdy nezaplatili kreditní kartou? Jak snadné je zapsat nebo si zapamatovat údaje o kartě
  • Call Centers - jste nikdy neposkytli podrobnosti o své kartě po telefonu?
  • Obchody (všimli jste si někdy, kolik obchodů má CCTV kamery?)
  • Komunitní centra/tělocvičny, ve kterých jste členem
  • Samozřejmě tolik webových stránek, že nemáte žádný způsob, jak zjistit, kdo má k těmto údajům přístup

Existuje mnoho míst, kde někdo může získat jak vaše číslo karty, tak CVV + datum vypršení platnosti, a v mnoha z těchto situací už o vás mohou vědět něco jako vaše celé jméno a adresa a možná i vaše datum narození.

Srovnáme-li tedy ta rizika, která musí téměř kdokoli s kreditní kartou vzít, k tomuto jeden e-mail (a dobrý přehled od @ Rakkhi o tom, co to znamená být schopen tento e-mail chytit): ostatní scénáře úniku jsou mnohem pravděpodobnější než z Gmailu nebo od někoho, kdo čichá po síti.

6
Yoav Aner

Toto je stará otázka, ale myslím, že byste měli zrušit kartu.

Všichni mluvili o pravděpodobnosti, že někdo zachytí e-mail při přenosu. To je ... tak velmi nepravděpodobné, pokud vaše místní síť již není MiTMed.

OBROVSKÝ expoziční povrch je e-mailový účet jiné osoby s nepochybně drsným heslem nebo špatnými návyky prohlížení/viry; vaše CC sedí v jejich odeslané složce a je velmi snadné tyto informace automaticky vyhledat a těžit přes botnet. Váš účet je také problém, ale máte alespoň kontrolu. Nemáte kontrolu nad druhým účtem.

2
Josh

Proč měla tato párty váš pán a cvv?

Pokud jste jim je poskytli, měli by být v souladu s pci-dss, a podle mého omezeného vědomí toho neumožňuje posílání nebo ukládání nešifrovaných dat. Data CVV nesmí být uložena.

Zatímco, jak již bylo řečeno, hodně SMTP provozu může být šifrováno, je velmi obtížné předem určit, zda se jedná o případ dané zprávy, ale je prakticky nemožné vědět, zda e-mail budou třetí stranou uloženy v souladu s předpisy.

1
symcbean