11:04
13/2/2020

Generowanie i wprowadzanie w pole formularza wszystkich możliwych haseł, PIN-ów lub innych wartości nazywane jest w naszej branży atakiem bruteforce (a w matematyce wariacją z powtórzeniami). Czy jeśli zastosujemy tę technikę do numerów kart płatniczych, to możliwe będzie odgadnięcie poprawnego numeru karty i nieautoryzowane obciążenie czyjegoś rachunku zanim nasze próby “zgadywania” danych autoryzujących płatność zostaną zablokowane? Tak. Pokażmy to na przykładzie.

Problem klientów jednego z wystawców kart płatniczych

Niektórzy klienci dostawcy kart Privacy.com zauważyli na swoich kontach ślady po wielu nieudanych próbach obciążenia ich kart. Problem dotknął sporą liczbę osób, które natychmiast zaczęły podejrzewać, że “numery kart skądś powyciekały”. Okazuje się jednak, że przyczyna jest inna. Numery nie wyciekły, a za problemem stoi …botnet zgadujący numery kart płatniczych. Ten atak fachowo nazywa się “PAN enumeration” (ang. personal/primary account number).

Innymi słowy, przestępca próbuje ustalić, która z wszystkich możliwych wariacji z powtórzeniami odpowiadających wymogom numeru karty płatniczej jest poprawna.

Kluczowe słowo: wymogi dla numeru karty. Starsi stażem Czytelnicy Niebezpiecznika pamiętają, jak 10 lat temu (!!!) opisaliśmy to, “jak wyhackować sobie darmową kawę w IKEA“. Wyjaśniliśmy w tamtym tekście na podstawie jakich standardów ISO tworzone są numery kart płatniczych i co oznaczają poszczególne grupy cyfr na karcie.

Pierwsza cyfra to MII (Major Industry Identifier), wskazuje na przeznaczenie karty, które niekoniecznie musi być związane z kartą płatniczą, a np. paliwową lub lojalnościową. Większość płatniczych zaczyna się od 4 albo 5. Sprawdźcie swoje karty w portfelach. Dalej, w numerze karty “zakodowany” jest IIN (Issuer Identifier Number), numer rachunku i na końcu suma kontrolna wyliczana algorytmem Luhna. W skrócie: nie trzeba testować 1E16 numerów — da się tę liczbę prób znacznie ograniczyć.

Schemat ataku jest prosty:

  • 1. Znajdź serwis internetowy, w którym można coś kupić poprzez płatność kartą, a formularz płatności nie jest zbyt dobrze zaimplementowany. Privacy podaje przykłady kilku usługodawców, których słabo zabezpieczone formularze przyjmowania płatności (dotacji) zostały nadużyte przez przestępców.
  • WEMOVE.EU DEU
    ST. ROCCOS HOSPICE GBR
    LANTERN INSURANCE NZI TAKAPUNA NZL
    BETTERPLACE.ORG/GUT.OR DEU
    DONATE GBR
    NOTTINGHAM MENCAP GBR

  • 2. Zacznij wpisywać w formularz płatności kartą kolejne 16-znakowe numery kart zgodne z ww. formatem i analizuj sposób odpowiedzi serwisu.

    Tu warto zaznaczyć, że wbrew wyobrażeniom niektórych, do obciążenia karty NIE ZAWSZE wymagany jest kod CVV2 czy nawet data ważności lub zgodność podanego imienia i nazwiska klienta z tym, co wystawca karty ma w swojej bazie. I z tego korzystają przestępcy. Wprowadzają oni tylko i wyłącznie “kolejne” numery kart, nie podając kodu CVV2 ani daty ważności. Jeśli otrzymają komunikat błędu, że numer karty jest nieprawidłowy, próbują kolejnego numeru. Jeśli otrzymają inny komunikat błędu, wiedzą że numer karty jest aktywny (ktoś go posiada). Pozostaje ustalić datę ważności — w tym celu w kolejnych zapytaniach do serwisu przysyłany jest aktywny numer karty i kolejne daty ważności.

  • Zauważ, że dat ważności do sprawdzenia wcale nie ma wiele. Karty mają ważność z reguły nie dłuższą niż 6 lat, a miesięcy jest 12. To daje maksymalnie 72 próby.
  • 3. Mając ustrzelone: aktywny numer karty i poprawną datę ważności, złodziej wykorzystuje kartę w innym serwisie — tym razem takim, który środki z karty pobiera i przesyła w inne miejsce (kontrolowane przez złodzieja) — przykładem są serwisy doładowujące portmonetki online lub inne, zamieniające czyjeś pieniądze na “nasze środki”. Wciąż nie jest wprowadzany kod CVV2. I wciąż — wbrew przekonaniu wielu — taka transakcja może przejść. Zwłaszcza zagranicą. Jak pisze Privacy:

Running an authorization without a CVC2 is a very common authorization request type; any merchant that utilizes recurring billing at times runs authorizations without a CVC2.

Jak skuteczne to jest?

Privacy, zaatakowane w ten sposób, dość transparentnie podeszło do sprawy i ujawniło statystyki “złośliwych” zapytań kierowanych do ich puli kart, wraz z procentowym rozkładem.

Jak widać, zgadywanie numerów kart płatniczych i ich okradanie jest możliwe. Ale niezbyt łatwe i “popularne”. Tylko 0,04% transakcji realizowanych przez zgadujące-dane-kart botnety w ciągu ostatnich 7 dni doszło do skutku. Klienci jednak nie ucierpieli, bo ze względu na ubezpieczenia transakcji kartami płatniczymi, środki zostały im zwrócone. Tak, płacenie kartami jest najbezpieczniejsze pod kątem ochrony środków klienta przed nieautoryzowanym wykorzystaniem.

Czy problem ten może dotknąć Polaków?

Tak, ale botnety musiałyby celować konkretnie w karty polskich “wystawców” — czy (już) celują? Tego nie wiemy. Co więcej, tak chętnie stosowany w Polsce mechanizm 3DSecure dla kart niczego tu nie zmienia, bo nie musi być zaimplementowany po stronie “merchanta”, czyli w miejscu, gdzie ktoś w sposób nieautoryzowany użyje Waszej karty. I nie zawsze jest.

Jeśli masz kartę, po prostu co najmniej raz na miesiąc przejrzyj wyciąg transakcji (lub włącz powiadomienia o każdej transakcji na e-mail/SMS/telefon) i te nierozpoznane reklamuj. Dostosuj też limity kwotowe (per transakcja, dzień) do swoich potrzeb i jeśli daną kartą nie płacisz nigdy w internecie, a bank na to pozwala, wyłącz jej obsługę transakcji internetowych/MO-TO.

Niegłupim pomysłem będzie też przesłuchanie drugiego odcinka naszego podcastu Na Podsłuchu, który poświęciliśmy właśnie (nie)bezpieczeństwu kart płatniczych.

Przeczytaj także:

74 komentarzy

Dodaj komentarz
  1. Dlaczego piszecie (na obrazku), że nie da się sklonować karty zblizeniowo? Da się pobrać takie informacje które wymieniacie w artykule (nr karty, imię i nazwisko, data) – to że przestępcy tego nie używają masowo bo są prostsze metody, nie znaczy że kiedyś nie zaczną. (np skanując nieekranowane koperty na poczcie…)

    • Bo się nie da. Pobranie tych informacji to nie jest sklonowanie karty (nie zrobisz przy ich pomocy transakcji card present). Odwiedź też link, który jest tam podany.

    • W poniższym artykule twierdzą, że można ze zczytanych danych zrobić klon karty, która posłuży do transakcji w zwykłych sklepach i bankomatach:
      Contactless payment security, concerns and considerations
      https://www.lovemoney.com/guides/75138/contactless-card-payment-security-concerns-considerations-safety-fraud
      Contactless “skimming” is a fraud risk
      While there may be no hard evidence of contactless based fraud, this doesn’t take into consideration if card details are stolen via contactless for later use – better known as “skimming”.
      Using widely available technology, or even a smartphone app, criminals can wirelessly read data from your contactless card without charging you a penny.
      In most cases, the data includes the full 16-digit card number, the card type (Visa, MasterCard, or similar), the issuing bank, the expiry date, the card owner’s name, and in some cases (worryingly) a mini-bank statement.
      With this data, it’s possible for criminals to create a cloned card with the original card details for use at older ATMs, shops, or even websites with poor security checks.

    • Przecież sami piszecie, że wystarczą dane karty, gdy nie ma 3DS. Więc tak, klonowanie karty zbliżeniowo jest możliwe dla każdego z telefonem Android. Na iOS się nie da bo Apple blokuje “numery aplikacji” przypisane programom zapisanym na karcie i odpowiedzialnym za logikę transakcji po stronie “plastiku”.

      Ponadto nie jest to prawda, że 3DS włącza merchant. 3DS włącza bank. W związku z PSD2 w zasadzie wszyscy byli z tym gotowi we wrześniu ubiegłego roku.

    • Ale zaimplementować musi merchant.

    • Ale gdzie musi zaimplementować merchant? 3DS jest włączane i obsługiwane poza kontrolą merchanta, bo na stronie bramki płatniczej. Może wyjątkiem jest, jeśli merchant byłby certyfikowany PCI-DSS, ale to wyjątkowe customowe integracje.

    • Jego zadaniem (w jego interesie) jest albo zaimplementowac to u siebie (model z bramka platnosci nie jest wykorzystywany przez wszystkich) albo wybrac takiego partnera do obslugi platnosci ktory to gwarantuje.

    • Próba zeskanowania koperty z kartą na poczcie nie wiele Ci da, ponieważ karty są wysyłane z reguły z wyłączonymi modułami zbliżeniowymi. Dlatego też pierwszą transakcję należy przeprowadzić tradycyjnie wkładając chip do terminala lub bankomatu.

  2. Dodam od siebie przykład strony EC-councill, nijako zajmujacej się egzaminami zwiazanymi z bezpieczenstwem. Jakos pod koniec zeszlego roku zaplacilem karta 4000 PLN, nie zostalem poproszony o logowanie do banku (jesli dobrze pamietam, nie mieli wlaczonego 3d Secure), a moj bank nie poprosil mnie o autoryzacje przelewu w aplikacji.

    • 3D-secure to w ogóle jest porażka – prosi mnie o kod jak kupuję bilet na pkp za 50 złotych, a zagraniczne transakcje na 1000 usd przechodzą bez kodu…

    • 3D Secure to nie jest porażka. Warto poznać zasady, jakie obowiązują w przypadku kradzieży.
      – Jeśli sklep nie zaimplementował weryfikacji 3D Secure, w przypadku kradzieży winny jest sklep, który musi oddać pieniądze;
      – Jeśli bank nie umożliwił klientowi korzystania z 3D Secure, winny jest bank;
      – Jeśli bank udostępnił opcję 3D Secure, ale klient nie aktywował opcji na swojej karcie, winny jest klient banku.
      W dwóch pierwszych przypadkach klient nie ma się czym martwić. W przypadku nieautoryzowanego użycia jego karty, kasę i tam otrzyma z powrotem (albo z banku albo ze sklepu).

  3. NA allegro płacąc kartą nic nie trzeba podawać wystarczy, że była raz dodana… Ktoś sie włamie zrobi zakupy bez podawania czegokolwiek tylko adresu i żegnajcie pieniążki…

    • Tak jest chyba na większości serwisów gdzie można zapisać kartę, nawet nie ma za bardzo opcji włączenia jakiegoś uwierzytelniania – jedyny sposób to odpinanie karty po każdym zakupie…

    • A o czymś takim jak chargeback kolega nie słyszał pewnie ?

    • W Allegro masz MFA.
      Lepsze to niż za każdym razem wprowadzać numer karty. Wg mnie trudniej w takim wypadku zrobić phishing bo użytkownik spodziewa się, że karta jest tam już podpięta.
      Nie mam złudzeń że chodziło o wygodę ale nie sądzę żeby to było niebezpieczne.
      Osobiście do płatności w internecie stosuję wirtualną kartę przepłaconą, którą zwykle blokuję po dokonaniu transakcji.

    • Najlepiej robi to – SkyCash – przy każdej transakcji podajesz CVV

    • Dlatego ja ten problem rozwiązuje używając BLIKa na Allegro, a nie płacąc bezpośrednio kartą na stronie. Wadą jest że nie możesz zrobić chargeback w razie wtopy, ale jest Allegrowy POK który nawet za często staje po stronie kupujących i oddaje kasę.

    • Nie podpinać i nie zapamiętywać nigdzie karty. Proste i działa.

    • Jeśli chodzi o SkyCash to kiedyś tak, ale od kiedy wdrożyli MasterPass to już nie potrzebujesz numeru CVV2. SkyCash zdelegował realizację płatności na MasterCarda.

    • “Żegnajcie pieniążki”, mhm, z tym że pieniążki Allegro albo wystawcy karty, bo na pewno nie jej użytkownika. To niech się Allegro z bankiem między sobą dogadują, kto stracił.

      I pewnie właśnie dlatego to się w praktyce nie zdarza.

  4. Dodatkowym zabezpieczeniem może być też utworzenie sobie osobnego rachunku w banku bez zamawiania karty. Tam trzymać pieniądze i przesyłać sobie na rachunek z podpiętą kartą tyle, ile w danym momencie jest potrzebne.

    • @Bielecki

      Popieram tę taktykę. A w przypadku szczególnie zagrożonych klientów także trzymanie oszczędności na rachunku nie mającym dostępu online.

    • Właśnie do tego idealny jest Revolut (no i do wielu innych rzeczy.

      Jako, że karty Revolut są kartami prepaid, nie ma możliwości zejść poniżej zera. Do tego w połączeniu z natychmiastową możliwością deaktywowania karty, jak i jej ponownego aktywowania jest świetna do zakupów w niepewnych miejscach.

      Żadna reklama tego konkretnego banku (czy czym tam są) bo pewnie inni też to mają, ale o nich wiem i używam tego od początku ich istnienia.

    • Ale z chargebackiem tam nie będziesz mieć tak wygodnie, dane oddajesz (zobacz komu i ile), a poza tym włączana i wyłączana kartę “prepaid” możesz sobie za darmo wyklikac co najmniej w jednym polskim banku, także sterując jej ustawieniami z apki mobilnej.

    • @Piotr Konieczny – dlaczego w Revolucie nie będzie tak łatwo z chargebackiem? W krakowskim oddziale jest cały duży dział obsługi chargeback Revoluta?

    • To mam nadzieję, że szybko ogarnie temat, bo z tego co do nas dociera na redakcyjną skrzynkę, to chargeback w Revolucie nie jest tak gładki i przyjemny jak w bankach.

  5. 1) Metoda opisana w artykule została wykorzystana w ataku na Tesco Bank UK w 2016 roku.
    Z rachunków 9000 klientów banku ukradziono 2,5 mln GBP:
    Tesco Bank cyber attack involved guesswork, study claims
    https://www.theguardian.com/technology/2016/dec/02/tesco-bank-cyber-attack-involved-simply-guessing-details-study-claims
    „The type of hacking identified by the Newcastle team involves criminals using merchants’ payment websites to “guess” people’s card details. The criminals use software that automatically generates different variations of a card’s security data – for example, the card number, expiry date and three-digit security code known as the CVV – and fires these off to hundreds or even thousands of websites around the world at the same time. The reply to the transaction will confirm whether or not the guess was right.”

    2) Niedawno znalazłem wytłumaczenie dlaczego Amazon nie wymagał CVV do przeprowadzenia transakcji (treść sprzed 7 lat, nie wiem czy to nadal aktualne):
    How does Amazon bill me without the CVC / CVV / CVV2?
    https://security.stackexchange.com/questions/21168/how-does-amazon-bill-me-without-the-cvc-cvv-cvv2
    „That code isn’t necessary. This may cause more fraud and more chargebacks, but Amazon keeps those numbers low so that they can offer a faster shopping experience such as one-click.”
    „Amazon pays a slightly higher rate to accept your payment without the CVV, but the CVV is not strictly required to present a transaction – everybody uses CVV because they get a lower rate if it is present (less risk, less cost).”

  6. Kiedyś znajomy, który gdzieś implementował PCI DSS, kłócił się ze mną, że zgodnie z tym standardem nie można autoryzować bez CVV/CVC… Potem się okazało, że Amazon tak robi i przez dłuższy czas byliśmy przekonani, że tylko “wielcy” mogą sobie załatwić takie wyjątki – a tu się okazuje, że to norma???

  7. „Reklamuj nieautoryzowane transakcje” – super porada. Zdarzało mi się już pare razy reklamować fraudy, i zawsze kasę odzyskiwałem najwcześniej na etapie arbiter, czasami sąd rejonowy (16-24 mc). Lepiej zabezpieczać się limitami. Pamiętajcie, ze polskim bankom nie zależy na respektowaniu chargeback, bo oni na tym tracą pieniądze.

    • Potwierdzam, że chargeback to w dużej części ściema. Mnie też bank odrzucił taka reklamacje, ponieważ klient odpowiada za nieautoryzowane transakcje do kwoty 50 EUR.

    • Podeslij nam odpowiedz banku na twoja reklamacje. Z checia przyjrzymy sie sprawie.

    • Arbiter? Chyba ludzie oszaleli! Arbiter Bankowy należy do Związku Banków Polskich. Jak ktoś nie wie, to jest instytucja, która murem stoi po stronie banków, chroni ich interesy i lobbuje za korzystnymi dla nich (a zarazem niekorzystnymi dla klientów) przepisami. Między innymi ZBP bronił jak lew zachowania bankowego tytułu egzekucyjnego.

      Jak ktoś ma problemy z bankiem to najlepiej złożyć skargę do Komisji Nadzoru Finansowego. To jest organ państwowy, od którego banki zależą (bo dostają koncesję) i którego się boją! Natomiast w sprawach dotyczących kart płatniczych jeszcze lepiej jest złożyć skargę do organizacji, która wydała kartę czyli VISA lub MasterCard. W skardze dobrze jest podać numer BIN (czyli 6 pierwszych cyfr numeru karty) banku-wystawcy, którego skarga dotyczy.

      Oczywiście najpierw próbujemy drogi polubownej czyli oficjalnie składamy reklamację do banku. Niekorzystne rozpatrzenie lub przekroczenie terminu na rozpatrzenie już jest przesłanką do złożenia skargi.

    • Ja również niestety od 3 miesięcy czekam na rozpatrzenie reklamacji transakcji kartą. Na infolinii BNP Paribas powiedzieli wprost, że reklamacji “chargeback” nie przyjmują i co nam Pan zrobi? Przyjęli zwykłą reklamację i teraz czekam trzeci miesiąc aż łaskawie rozpatrzą. Jak dzwonię zapytać o status, to tylko mogą powiedzieć, że sprawa jest w toku i żeby czekać dalej. Także niestety chargeback w BNP to ściema.

  8. Najprościej ograniczyć ilość prób podczas danej sesji logowania i podawania / prób danych. Po 3 błędnych próbach blokada formularza i tyle. Niedoskonałe ale może zniechęcić. A tu czytam, że “haker” może sobie stosować bruteforce jak chce i ile chce kombinacji, takie przyzwolenie jest niedopuszczalne. Kto zna swoje dane potrzebuje jednego razu max. 2 a nie do oporu.

  9. PAN w przypadku kart oznacza Primary Account Number.

  10. Najlepszym sposobem jest posiadanie dwóch kont, tzn. główne i oszczędnościowe. Trzymasz kasę na oszczędnościowym i przesyłasz na główne tyle, ile akurat potrzebujesz. Nawet jak ktoś ukradnie kartę i zdobędzie PIN to nie dotrze do konta oszczędnościowego. Przynajmniej na mojej karcie.

    • Musisz tylko wybrac takie konto, gdzie masz bezplatne przelewy pomiedzy wlasnymi kontami. Wiekszosc kont oszczedniowych ma limit 1-2 bezplatnych transakcji w miesiacu.

    • I będziesz codziennie doładowywał to konto główne? Wygodniejszy jest limit dzienny, jak zgubisz kartę to chyba zablokujesz ją w przeciągu jednego dnia.

    • @Witek

      Zdecydowanie tak

      @Grzegorz

      Jedno nie wyklucza drugiego, są też różne wzorce korzystania z banku (wbrew pozorom nie każdy używa codziennie), trzeba przeanalizować swoje potrzeby i zagrożenia, po czym dopasować procedurę do sytuacji. W uproszczeniu, na konto rozliczeniowe przesyłasz tyle ile w miarę akceptujesz stracić w danej jednostce czasu. Nie na każdą kanapkę czy kawę ;) Porównam do procedury znanej staruchom takim jak ja z czasów kiedy nie było terminala w każdym sklepie ;) Co jakiś czas wypłacało się z bankomatu (lub banku, whatever) gotówkę na bieżące wydatki do portfela. Tyle, żeby po byciu okradzionym przez kieszonkowca (nagminne zagrożenie w niektórych miastach) nie było katastrofy, ale żeby wystarczyło do następnej wizyty przy bankomacie (np ja do najbliższego miałem 8 przystanków komunikacji miejskiej). I w opisanej przez kolegę @Witek procedurze jest tak samo – tylko rolę portfela na gotówkę pełni konto rozliczeniowe.

    • @Grzegorz, w ciągu jednego dnia to można ją wyczyścić lub nawet zadłużyć. Często decydują godziny.

  11. Generatory numerów kart kredytowych istniały już 25 lat temu!

  12. “… nazywane jest w naszej branży atakiem bruteforce (a w matematyce wariacją z powtórzeniami). …”

    Wariacja z powtórzeniami – bo można zwariować od powtarzania tych prób

  13. Artykuł beznadziejnie napisany czytałem 3 razy i dalej nic nie rozumie z niego

    • To chyba nie jest problem z artykułem…

  14. Warto dodać, że jeśli sklep (lub jego operator płatności) nie zaimoelemntował 3D Secure, to w przypadku kradzieży winny jest sklep. Bank każe zwrócić kasę i tylko sklep jest stratny.

  15. offtop, bo tak mi się przypomniał jeden Izraelczyk, który latami kiwał FBI taką antenką:
    zróbcie sobie hackery taką antenkę (wpisac w yutube: wi-fi gun diy kreosan). Lubię tych Ruskich poogladać, są pojechani.

    Założę się, że spory procent połączeń będzie otwarte. W sumie to podejrzewam, że niejedno będzie realizowało połączenie LAN zamiast WAN. No i ile IOtów się zobaczy…

  16. Ostatnio ktoś autoryzował płatność moją kartą w aplikacji wish. Kupił sobie maseczkę do twarzy za 10$ i kazał wysłać na sam środek pustyni w Algierii. Karta zablokowana, reklamacja uwzględniona. Do tej pory nie wiem czy dane wyciekły czy zadziałał tu botnet. Ciekawa sprawa

  17. Panowie jest XXI wiek, wirtualna jednorazowa karta revolut załatwia sprawe, po co kombinować.

    • &psikuta – jesli lubisz placic danymi. W 21 wieku to modne :)

    • W Revolucie płaci się danymi? W jaki sposób?

      A w zwykłej karcie debetowej/kredytowej danymi się nie płaci?

      Dostrzegam zalety chargebacku, ale płatność zwykłą kartą to naruszenie naszej prywatności: nazwisko i numer karty trafiają do sprzedawcy, a i na wieki zostaje w rejestrach banku zapis o tym, gdzie dokonano transakcji. Nie jest to “płatność danymi” wg Was?

    • popatrzcie co revolut ma w polityce prywatności i jakie informacje na wasz temat zbiera z waszego telefonu.
      piotr słusznie zauważa, że większe niż lokalny bank.
      poza tym panowie z niebezpiecznika w którymś z podcastów zwracali chyba uwagę na niejasną strukturę udziałowców i inwestorów.
      i że revolut nie jest bankiem.
      a to ma wpływ na regulacje i bezpieczeństwo środków klientów.
      ale nie tylko środków.

    • @Piotr Konieczny – a jak ma się ostrzeganie przed płaceniem danymi do promowania usług Google na tym portalu? Tam to dopiero się płaci…

    • Akkryn, ale przecież my nie ukrywamy, że jeśli korzystasz z Google to płacisz danymi. My przed tym ostrzegamy …i jednocześnie każdemu proponujemy podjąć samodzielną decyzję, czy znajdzie gdzieś “lepsze bezpieczeństwo” (psst, większość normików nie znajdzie). GMaila chwalimy za bezpieczeństwo (a bezpieczeństwo to nie prywatność), bo bezpieczeństwo ma bardzo wysokie, jeśli nie najwyższe na rynku darmowych dostawców.

    • > my nie ukrywamy, że jeśli korzystasz z Google to płacisz danymi

      Rzetelniej by było, gdybyście ostrzegali nie tylko przed Googlem inwigilującym jego użytkownika, ale też przed Googlem inwigilującym wszystkich ludzi, z którymi koresponduje.

    • I przed każdym kto korzysta z komputera.

    • > Piotr Konieczny: I przed każdym kto korzysta z komputera.

      Najwyższa więc pora więc na nowy gadżet: liczydło z logo Niebezpiecznika ;o)

      A tak z innej beczki: podziwiam ludzi zakładających konto Revolut – ja odpadłem na żądaniu przesłania fotek swojej i Dowodu Osobistego. Dla mnie to żądania nie do przyjęcia.

    • @Piotr Konieczny:

      dobrze wiesz, że chodzi o co innego: o uświadomienie ludzi, że Google’owi nie tylko swoje dane powierzają.

      Przypuśćmy że jakaś mała firemka trzyma na Gmailu, “Dysku Google” czy w innej “chmurze” dane osobowe kontrahentów, czasem z ich PESEL-ami i adresami zamieszkania.

      Uważasz za uczciwe udostępniać Google’owi takie rzeczy bez świadomie wyrażonej zgody osoby, której dane dotyczą? Pytam tu o uczciwość, nie o formalną zgodność z prawem stanowionym.

    • Zgodnie z prawem może o ile poinformuje o tym klientów (gdpr, umowa powierzenia). I nie spiskuj pls albo podaj dowody na to jak to google wykorzystuje PESELE (lub inne tego typu dane) trzymane w plikach na Gdrive.

    • > I przed każdym kto korzysta z komputera.

      Dlaczego wyśmiewasz argument, że Google narusza prywatność nie tylko użytkowników googlowych kont?

    • @Marcin, nie wyśmiewam. Wręcz przeciwnie – zwracam uwagę że nie tylko Google a każdy kto korzysta z komputera lub świadczy usługi to robi(ć może).

    • > Zgodnie z prawem może o ile poinformuje o tym klientów (gdpr, umowa powierzenia).

      Niewątpliwie, ale to odpowiedź nie na temat. Bo pytanie było o uczciwość takiego działania, a nie o legalność.

      Problem powstaje gdy nie da się skorzystać z usług danej firmy, jeżeli się nie wyrazi zgody na oddanie swoich danych Google’owi (bo np. firma wszystko trzyma w “chmurze”)

      > I nie spiskuj pls albo podaj dowody na to jak to google wykorzystuje PESELE (lub inne tego typu dane) trzymane w plikach na Gdrive.

      O żadnym spisku nie ma tu mowy.

      Chodzi o to, że Google _ma_dostęp_ do danych człowieka, który korzysta z usług danej firmy, a nie o ich wykorzystywanie. Nie ma znaczenia, czy Google korzysta teraz, czy wykorzysta w przyszłości.

      Osoba której dane dotyczą może NIE ŻYCZYĆ SOBIE żeby Google czy ktokolwiek inny miał jej dane poza firmą, która ich potrzebuje do wykonania usługi, prawda?

      I wtedy:
      Jak podjąć studia na uczelni która trzyma pocztę studentów w Google?
      Jak zameldować się w hotelu który dane meldunkowe gości synchronizuje z Google?
      Jak podjąć najprostszą pracę za minimalną krajową u Janusza, którego księgowa trzyma dane osobowe i finansowe pracowników na dysku Google?
      Jak nawiązać kontakt z adwokatem który pocztę trzyma w Google?
      Jak załatwić sprawy majątkowe i testamentowe u notariusza który wszystkie dane klientów trzyma w chmurze Google?
      Jak przetłumaczyć dokumentację medyczną ze wstydliwymi chorobami u tłumacza przysięgłego, który tłumaczenia wykonuje w Dokumentach Google?
      Itd. itd.

      Dotyczy to zresztą nie tylko Google, ale każdego innego dostawcy “chmury”. Czy naprawdę ludzie zapomnieli już totalnie na czym polega – uwaga, zapomniane słowo! – dyskrecja?

      Ufam że opublikujesz ten komentarz.

    • Nie wiem czy się dobrze zrozumieliśmy, bo wydaje mi się że chcemy tego samego, ale trochę inaczej widzimy rozwiązanie problemu…

      IMHO Ktoś kto korzysta z internetu i przekazuje dane (komukolwiek) powinien mieć świadomość, że jego dane mogą się znaleźć w niepowołanych rękach. To jego obowiązek, tak jak obowiązkiem kierowcy jest świadomość, że jak nie dobierze prędkości do zakrętu, to z niego wypadnie i może się zabić.

      Twoje dane przecież trafić mogą nie tylko na serwery Google, jakiegoś hosta w Rosji, na stertę papierów na wysypisku czy nawet w formie wydruku/zdjęcia do Pana Zenona. I dopóki śliniący się Zenon nie zacznie Cię stalkować, to się o tym nie dowiesz. Wręcz, moim zdaniem, większe jest prawdopodobieństwo, że do Zenona trafią nie z serwerów Google, a z innego miejsca.

      Dla tych, którzy nie wiedzą, jak to działa, powstał obowiązek informacyjny, który nie jest wymogiem tylko i wyłącznie GDPR. Celem jest otworzyć ludziom oczy. Ale jeśli forma jest taka, że na każdej stronie wyskakuje okienko za każdym wejściem, to nie dziwne, że ludzi bardziej to irytuje niż interesuje i nie wczytują się w to co dzieje się z ich danymi.

      I w takiej dyskusji pełnej “gdybania”, wbrew temu co twiredzisz, bardzo ma znaczenie, czy “Google korzysta teraz czy wykorzysta w przyszłości”. Bo takie przypadki nieetycznego wykorzystania danych akurat tej firmie się nie zdarzyły nagminnie. Innym się zdarzają. Facebook sięgnął po numery telefonów podane w celu 2FA; Uber wykorzystał informacje ze swojej aplikacji do oszukiwania regulatora. I pewnie można takich przypadków podać jeszcze więcej. Co tym bardziej umacnia potrzebę, od której zacząłem swój komentarz: użytkownicy korzystający z komputerów/internetu powinni mieć świadomość, że dane które komuś podają, ktoś inny może pozyskać. Nie tylko w wyniku ataków. Ja wiem że analiza ryzyka to nie jest łatwa sprawa, nawet dla technicznych osób, ale to podstawa modelowania swojego bezpieczeństwa tak, aby nie postradać zmysłów.

      Nic więc moim zdaniem nie usprawiedliwia Twojego twierdzenia, że “X ma dostęp do danych użytkownika Y => X będzie te dane wykorzystywać”. To nie jest powszechne i akceptowalne zjawisko, a tego typu procedery w przypadku — zwłaszcza dużych — firm są obarczone olbrzymim ryzykiem, nie tylko prowym, ale i finansowym. Patrz kara dla FB za użycie danych biometrycznych użytkowników.

      A odpowiadając na Twoje pytania z “i wtedy”:
      – wybrać inną uczelnię (powodzenia, jak pokazuje nasz cykl, nawet uczelnie bez infry w chmurze G wyciekaja dane studentów, wręcz wszystkie incydenty zgłoszone nam przez lata dotyczyły w przerażającej większości (99%?) wycieków z innych miejsc niż chmura, a te chmurowe to nie był sabotaż dostawcy chmury, a brak zrozumienia ustawień bezpieczeństwa przez administratora)
      – w przypadku hoteli też więcej danych wycieka nie z “chmury” (któregokolwiek dostawcy) a z recepcji. Wiesz ile dni popracuje jeszcze ten stażysta, co cię melduje i co sprzedaje na darknecie po godzinach?
      – pozwij go lub wyedukuj …aby przekonać się jak to nieskuteczna metoda walki z taką “patologią” ;)
      – świetny artykuł na ten temat: https://prawo.gazetaprawna.pl/artykuly/1449979,poczta-gmail-skanowanie-tresci-wiadomosci-prawnik.html — dylematy są, ale dla niektórych prawników i ich klientów, pod kątem bezpieczeństwa, lepiej jest trzymać pocztę właśnie na GMailu, a nie na innych szytych pod siebie serwerkach, którym nie zapewnią z braku kompetencji, bezpieczeństwa. Słowo klucz: szyfrowanie. Powinien być nakaz prawny — a jednocześnie popatrz, jak bardzo jako inżynierzy dajemy ciała, że nie potrafimy dać ludziom łatwego do zrozumienia i wygodnego w użyciu rozwiązania do szyfrowania treści, plików, komunikacji.

      Problem, o którym rozmawiamy może być rozwiązany tylko prawnie (wymóg szyfrowania/anonimizacji danych przechowywanych w systemach, także własnych, niechmurowych). Bo to nie chmura jest zła, ale to co niektórzy bezmyślnie do niej wpychają. I IMHO największym ryzykiem nie jest naruszenie poufności ze strony dostawcy, a bardziej ze strony wielu innych czynników zewnętrznych. Edukacją i hurr-durrowaniem z panią w hotelu lub “księgową Janusza” tego problemu nie rozwiążesz, nie dasz rady, Don Kichocie ;) Trust me, been there, done that. Za to jak najbardziej edukować należy pojedyncze jednostki, od podstawówki. I to też powinno być nakazane prawnie, bo taki mamy współczesny świat.

    • > @andm: Czy naprawdę ludzie zapomnieli już totalnie na czym polega – uwaga, zapomniane słowo! – dyskrecja?

      A co można za nią kupić? ;o)

    • @Piotr Konieczny

      Nie mam poczucia, że to my inżynierowie dajemy ciała, nie umiejąc przekazać użytkownikom prostych do zrozumienia systemów szyfrujących. Umielibyśmy je wytworzyć (jako zbiorowość, nie każde jedno z nas osobno), ale nie umiemy ich wypromować, czyli upowszechnić. Więc użytkownicy wybierają to, co podane na tacy przez firmę mającą budżet na promocję i edukację użytkowników. Aktualnie najlepszą tacą są webaplikacje. Wchodzisz na podany adres i masz działające oprogramowanie. Na swoim kompie odpalasz tylko przeglądarkę. Na innym kompie też, i logując się na te same dane masz dostęp do tych samych dokumentów. Ciężko przebić taką dostępność i wygodę bez kasy na promocję innego rozwiązania. Oczywiście, to jest ciekawe, że Dokumentom Google udało się przebić poprzez utrwalony latami monopol Micro$oftu, stosującego kontrowersyjne metody uzależniania użytkowników od swojego środowiska. Ale wszystko co jest ich zaletą (wygoda, łatwość udostępniania, niezależność od środowiska) prowadzi bardzo łatwo do złamania procedur prywatnościowych. Z mojego punktu widzenia nie jest głównym problemem że ludzie używają rozwiązań Googla, ale że się z nich nie wylogowują (także na cudzych kompach) i że nie rozumieją komu co udostępniają (bo to tak wygodne, że prawie samo się robi).
      Analiza ryzyka to dobra rzecz. Dla różnych przypadków da różne rezultaty i o to dokładnie chodzi. Chyba, że będzie wymóg prawny i powstaną firmy dostarczające ujednoliconą analizę ryzyka, żeby w papierach była ;)

  18. Najlepszym rozwiazaniem do platnosci jest Appe Pay a karta schowana w szafie pod ubraniami :)

  19. To fascynujące jak pomysłowi są hakerzy.

  20. “NIKT nie nabija platnosci falszywymi terminalami”

    Brak dowodu, to jeszcze nie dowod braku.

    Poza tym jak wiadomo, zblizenie karty do terminala dziala wylacznie w murowanych budynkach z cegly. Kiedy znajdujemy w autobusie sprytna karta wie, ze autobus nie jest wykonany z cegly i odrzuca zadanie platnosci. True story.

    • “Jeśli nie masz dowodów to nie masz dowodów.”

      Oczywiście w autobusach latają hakerzy z czytnikami kart, które to czytniki wzięli skąd ??

  21. Skoro zblizeniowo mozna odczytac nr karty itp. to polowa roboty juz jest zrobiona z ataku opisanego w artykule

  22. Mają 0.04% skuteczności ale czy podali ile prób zostało przeprowadzonych?

  23. Chyba nie do końca z tą wariacją z powtórzeniami bo takie wariacje są nieskończone a brutforce nie i co do zasady są to chyba wariacje bez powtórzeń – cizas

    • Gru, wariacja to skończony ciąg, a z powtórzeniami, bo cyfry w tym ciągu mogą się powtarzać.

  24. Krystian, trochę więcej wiary w ludzi. Sprzęt do odczytania karty ma każdy z nas w postaci smartfona. Dodaj do tego trochę talentu i szczyptę wiedzy i już niemożliwe staje się możliwe :)

    https://niebezpiecznik.pl/post/aplikacja-na-telefon-do-wykradania-danych-ze-zblizeniowych-kart-kredytowych/

  25. […] formą zakupów w internecie dla klienta końcowego — o czym wspominaliśmy już wielokrotnie — bo fraudy na kartach podlegają reklamacjom. Tak więc wyciek (lub przypadkowe […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: