Domanda:
Quante cifre del numero di una carta Visa possono rivelare i venditori sulle ricevute?
SimZal
2016-12-12 10:12:39 UTC
view on stackexchange narkive permalink

Ho visitato un McDonald's locale e ho notato che parte del mio numero di visto è ripetuto sulla ricevuta in questo modo: NNNN NN__ ____ NNNN . (Quindi su un totale di 16 cifre si suddivide in questo modo: le prime sei cifre rivelate, le sei cifre centrali nascoste, le ultime quattro cifre rivelate di nuovo.)

Quindi solo 6 cifre sono state nascoste. Trovare il numero corretto richiederebbe 1.000.000 di tentativi, ma esiste anche un checksum che riduce ulteriormente il numero di tentativi necessari a 100.000 (dal mio, forse sbagliato, calcolo).

Esiste una politica su come molte cifre possono essere rivelate? Le carte potrebbero essere in pericolo se le aziende nascondessero solo le sei cifre centrali?

I primi numeri identificano la carta e l'emittente, quindi sono comuni a tutti i titolari di carta (e facili da determinare se vedi la grafica sulla carta).Le ultime 4 cifre smascherate per comodità.Non sono sicuro di quali rischi ci potrebbe essere se qualcuno fosse in grado di forzare i numeri mascherati.
@schroeder Grazie, ero paranoico alla luce dei rapporti di forzatura bruta (cvv e date di scadenza) delle informazioni sulla carta di credito.Probabilmente esistono molti modi più semplici per ottenere informazioni sulla carta di credito.
Le prime 6 cifre sono l '[IIN] (https://en.wikipedia.org/wiki/Payment_card_number#Issuer_identification_number_.28IIN.29), quindi sono di dominio pubblico.Per PCI possono essere visualizzati insieme alle ultime 4 cifre.
Inoltre, il numero finale è comunque solo un numero di checksum.Se fai i calcoli matematici necessari per verificare se un numero di carta è valido, dovresti ottenere l'ultima cifra come risultato :)
@Takarii: Ma esporre l'ultima cifra significa che il brute-forcer deve indovinare una cifra in meno: può capire quale dovrebbe essere per ottenere la cifra di guardia corretta.
@MartinBonner Questo è vero, ma tieni anche presente che un numero _valid_ non è necessariamente un numero _attivo_.Con scadenza e validità dalle date inserite, è possibile che più persone abbiano lo stesso numero di carta.
Ciò che mi infastidisce di più è che una ricevuta di un commerciante indicherà che il numero della mia carta è NNNN NN ** **** NNNN e la ricevuta di un altro commerciante indicherà **** ** NN NNNN ****.(O qualche variazione su questo in cui con abbastanza ricevute che mostrano parti diverse del numero, è possibile mettere insieme l'intero numero)
@Michael Questo non dovrebbe essere un problema.Quelli che sono stati mostrati e non sono stati mostrati non sono stati scelti a caso e i numeri centrali non dovrebbero MAI essere stampati su alcuna ricevuta di qualsiasi commerciante.I primi 6 numeri sono il tipo di carta e la banca con cui si trova la carta, quindi non sono comunque informazioni segrete.Gli ultimi quattro sono specificamente quelli lasciati visibili in modo da poter dire quale carta hai usato.Questo è lo standard per tutte le carte di credito.
D'altro canto, i truffatori a volte usano l'opposto della convenzione e se, ad es.per prendere di mira l'Irlanda si usa "4319 XXXX XXXX XXXX" che coprirebbe praticamente tutte le carte di debito VISA e alcune carte di credito VISA in quella zona (altri codici sono ugualmente comuni altrove).Qualcuno che non ha familiarità con gli schemi di numerazione ma che ha familiarità con l'idea generale di rivelare 4 cifre potrebbe, secondo l'idea, essere ingannato nel pensare che debba essere davvero loro.
Sette risposte:
#1
+106
Burhan Khalid
2016-12-12 14:16:45 UTC
view on stackexchange narkive permalink

Come per PCI, possono essere visualizzati i primi 6 (BIN) e gli ultimi 4, gli altri dovrebbero essere mascherati:

Da un PDF ufficiale del 2008: PCI Data Storage Do's and Cosa non fare :

Non memorizzare mai il numero di identificazione personale (PIN) o il blocco PIN. Assicurati di mascherare PAN ogni volta che viene visualizzato. Le prime sei e le ultime quattro cifre rappresentano il numero massimo di cifre che possono essere visualizzate.

PAN è Numero di conto principale

Per quanto riguarda la conformità, il terminale dati utilizzato per stampare la ricevuta è conforme.

Ho sempre trovato le regole PCI piuttosto interessanti quando applicate a numeri di carta con solo 13 cifre e utilizzando il controllo Luhn.Mi sembra anche di ricordare che gli Stati Uniti potrebbero avere una regolamentazione diversa in vigore?
PCI afferma che il _massimo_ non è il minimo.Finché non mostri più di quanto richiesto dal PCI, sei considerato conforme.Ricordo che negli Stati Uniti a volte vengono mostrati solo gli ultimi 4.
@BurhanKhalid Mostrare solo gli ultimi 4 non è molto più sicuro che mostrare i primi 6 e gli ultimi 4. Perché i primi 6 sono il numero di identificazione dell'emittente e potrebbero non esserci molte variazioni effettive in essi.
@MikeScott Ma come possiamo vedere, i commercianti potrebbero ancora voler mostrare solo gli ultimi quattro, per ragioni completamente estranee alla sicurezza: per evitare domande allarmate dai loro clienti.;) (FWIW, è più comune in Canada mostrare solo le ultime quattro cifre sugli scontrini. Non lo so se ciò sia dovuto a una regolamentazione oa una pratica industriale.)
Alcune aziende utilizzano queste cifre come convalida.Quindi anche questo potrebbe essere un problema.Guarda il [racconto di Mat Honan] (https://www.wired.com/2012/08/apple-amazon-mat-honan-hacking/).
Tieni presente che c'è una differenza tra ciò che può essere stampato sulla ricevuta del cliente e ciò che può essere sulla ricevuta del commerciante.Il commerciante avrà spesso il PAN completo stampato sulla ricevuta, che potrà quindi essere utilizzato per controversie, rimborsi, ecc.
Anche se è permesso, è una ** davvero ** cattiva idea mostrare sia il BIN che gli ultimi quattro.Ho avuto carte in cui tutte tranne il BIN e gli ultimi cinque erano zero!
Le prime 6 cifre vengono utilizzate come codice di instradamento.Non ce ne sono molti in uso, poiché non ci sono molti processori.Una buona parte della gamma è riservata.https://en.wikipedia.org/wiki/Payment_card_number
Per alcune persone, me compreso, avere i primi 6 (o 4) sarebbe meglio dell'ultimo.Quando ho bisogno di aggiornare una carta con un commerciante (ad esempio l'ultimo giro di riemissioni negli Stati Uniti per aggiungere il chip) ho bisogno di conoscere la BANCA (BIN) per la carta che hanno.Le ultime 4 cifre della vecchia carta che hanno in archivio sono sparite - distrutte con la vecchia carta.
Una migliore protezione consiste nell'elencare i primi 4, poiché sono gli stessi per molte persone che hanno account dallo stesso emittente / elaboratore.Un recente attacco a Visa (non ha funzionato su Mastercard) ha approfittato del fatto che ci sono solo pochi "primi sei" di uso comune, oltre alla possibilità di "testare" i numeri di carta effettuando solo un paio di ordini ciascuno su moltisiti diversi.Nessuna trappola di sicurezza è scattata sui singoli siti, poiché il conteggio dei tentativi non validi su ogni singolo sito era "accettabile" e Visa non ha aggregato i tentativi falliti gli stessi "ultimi 4" per riconoscere che era in corso un attacco distribuito
#2
+20
Serge Ballesta
2016-12-12 13:37:30 UTC
view on stackexchange narkive permalink

Ricorda solo che sensibile non significa segreto . Il numero della carta è "sensibile" perché può essere utilizzato per avviare transazioni finanziarie, ma non è segreto. Solo il codice PIN lo è.

In precedenza, il numero completo era scritto sulla ricevuta, come il numero completo del conto è scritto su un assegno. Poiché le aziende online utilizzano solo numeri di carte VISA senza convalida, le banche si sono rese conto che il rischio di frode era troppo alto e hanno scelto di nascondere parzialmente le informazioni sulla ricevuta. Ma il numero completo della carta è noto (o almeno accessibile) a quasi tutti i dipendenti di un sito web in cui hai avviato un acquisto online.

TL / DR: se la banca è troppo pigra per nascondere il numero di carta su una ricevuta stampata è un problema loro, non tuo. Poiché non sei responsabile di ciò, non c'è negligenza da parte tua.

In realtà è una ricevuta di Mcdonalds, non una banca.Grazie per la spiegazione, immagino che la mia carta sia al sicuro per ora.:)
"se la banca è troppo pigra per nascondere il numero della carta su una ricevuta stampata, è un problema loro, non tuo".Ciò implica una definizione molto povera di "problema".Solo perché è responsabilità della banca sistemare il casino, non significa che non sia anche un problema del cliente.Se pratiche scadenti presso la mia banca portassero a una quantità significativa di frodi sul mio conto, avrei sicuramente un problema con questo e porterei i miei soldi da qualche altra parte.
@SimZal la ricevuta può essere stampata presso McD.ma chi ha detto alla macchina cosa stampare è stata la banca.Possono persino stampare dichiarazioni promozionali come "il tuo acquisto ha vinto $ 100 in crediti" a piacimento.
@Mindwin Grazie, non sapevo che le banche avessero il controllo su questa parte del pagamento.
@SimZal Ad esempio, ho una carta di credito (la mia) e una carta prepagata per i vantaggi del supermercato della stessa società emittente (la carta prepagata viene addebitata dal mio datore di lavoro - vantaggi !!).Entrambi funzionano sulla stessa macchina POS.Quando utilizzo la carta supermercato, viene stampato il saldo rimanente sulla ricevuta.
@SimZal per banca puoi capire sia la banca che la società della carta.YMMV
@SergeBallesta In realtà, la conformità PCI richiede che le informazioni sulla carta di credito siano mascherate tranne che al primo input, anche internamente all'interno di un'azienda che esegue la propria elaborazione della carta di credito;i dipendenti IT affidabili avrebbero ancora accesso, ma non gli altri dipendenti.Se utilizzi un fornitore esterno per l'elaborazione delle carte (come fanno molti siti Web più piccoli), non vedrai nemmeno il vero numero di carta di credito: solo un numero di transazione una tantum.
"Ma il numero completo della carta è noto (o almeno accessibile) a quasi tutti i dipendenti di un sito web in cui hai avviato un acquisto online".Dubito seriamente di questa affermazione.Solo i dipendenti con accesso diretto al sistema di archiviazione che contiene il numero della tua carta dovrebbero avere quel tipo di accesso (ad esempio DBA) e un numero non trascurabile di aziende esternalizza l'intero processo di accettazione di una transazione con carta di credito a servizi come PayPal o Authorize.NET per evitare tutti i problemi di conformità.Hai una fonte per questo?
Questa risposta è quasi totalmente sbagliata.In qualità di sviluppatore di siti Web che accettano transazioni con carta di credito, posso affermare che PCI afferma che NESSUNO, nemmeno i dipendenti fidati hanno accesso sia al PAN che al PIN.Il PAN deve essere eliminato molto presto e un PIN non può mai essere memorizzato.Anche i lettori di schede dovrebbero crittografare i dati E-TRACK.Inoltre una banca non ha accesso alla stampa delle ricevute.Anche negli sportelli automatici (il venditore di bancomat può e la banca può chiedere un formato, ma in realtà non ha il controllo diretto sulla ricevuta).
Il PIN di @coteyr: non deve essere memorizzato o visualizzato, ma 3.3 dice "solo il personale con una legittima esigenza aziendale può vedere [PAN non mascherato]" e 3.4 consente di memorizzarlo crittografato tra le altre opzioni.Dubito che un QSA approverà "quasi tutti i dipendenti" che hanno esigenze aziendali legittime, ma chiaramente _alcune_ persone possono rientrare in questa categoria, se il commerciante lo giustifica.OTOH la guida generale è di non memorizzare più del necessario e se si utilizza un lettore P2PE, o EMV, non si _ha_ mai_un chiaro PAN.
#3
+12
Mike Scott
2016-12-12 16:42:53 UTC
view on stackexchange narkive permalink

Negli Stati Uniti, il Fair and Accurate Credit Transactions Act del 2005 (FACTA) vieta la stampa di più di cinque cifre di un numero di carta di credito. Quindi, sebbene la tua ricevuta sia conforme alle normative PCI, non sarebbe conforme alla legge se fossi negli Stati Uniti. Tuttavia il tuo profilo dice che sei in Slovenia e non sono a conoscenza di leggi slovene o dell'UE simili.

Ho ricevuto questa ricevuta in Tailandia, immagino che i loro standard siano leggermente inferiori rispetto agli Stati Uniti.
È una carta di credito?E la legge statunitense si applica alle carte con chip e pin?
Secondo un articolo del Wall Street Journal la scorsa settimana, il limite è 4, non 5.
@HiTechHiTouch Il limite secondo il testo della legge è 5, e nello specifico l'ultimo 5.
@Simzal Dati i commenti sulla legge statunitense, ** in quanto ** consentono le ultime 5 cifre dalla legge statunitense, contravvenendo all'indennità PCI "ultimi 4", ** e poiché ** le prime 6 possono essere derivate con relativa facilità, ** Quindi: ** La legge statunitense è (1) non conforme agli standard statunitensi applicabili e (2) meno valida di quanto fa la ricevuta.
@Xander Fornisci un riferimento alla fonte, accettabile per un articolo Wiki.Grazie!
@HiTechHiTouch l'ho fatto.La fonte di riferimento è il testo della legge.
#4
+7
Dmitry Grigoryev
2016-12-12 17:46:53 UTC
view on stackexchange narkive permalink

Poiché in tutto il mondo circolano circa 1 miliardo di carte Visa (erano 883,5 milioni nel 2012) e ogni carta ha 14 cifre univoche (la prima è sempre 4 e l'ultimo è il checksum), ci vorrebbero in media 50.000 tentativi per trovare un numero valido senza alcuna informazione preventiva.

Così, se l'hacker non è interessato a indovinare il tuo numero in particolare , molto probabilmente ignorerà semplicemente la tua ricevuta anche se l'ha ricevuta.

Non hai bisogno anche del nome del titolare e della data di scadenza per eseguire una transazione senza pin?
-1
Capisco il tuo punto, avrei dovuto essere più chiaro.Il punto è che le informazioni aggiuntive richieste potrebbero dare a un attaccante una ragione sufficiente per essere interessato a indovinare il numero specifico per la ricevuta (ad esempio se conosce o può social-engineering il nome del titolare) invece di "qualsiasi" numero.
Sì, non ho letto affatto la tua domanda in quel modo;) Comunque, ** hai ragione che in questo caso particolare l'attaccante avrà molte meno supposizioni da provare **.Tuttavia, direi che la situazione in cui l'attaccante conosce la maggior parte dei dettagli del tuo CC ma non il numero completo è abbastanza insolita e nulla nella domanda suggerisce che potrebbe essere il caso.
Non riesco a immaginarlo conoscendo il codice CCV e la data di scadenza senza conoscere il numero completo della carta, anzi.Tuttavia, è possibile conoscere * solo * il codice CCV e il nome del titolare e indovinare la data di scadenza non è così difficile come le altre informazioni sulla carta.Comunque, penso che la tua risposta sia ancora abbastanza convincente, sto solo pignolando.Un utente malintenzionato su vasta scala può benissimo prendere di mira un paese specifico bloccando le prime cifre e quindi provare alcuni nomi comuni contro i suoi numeri ipotizzati.
#5
+5
Jon Jenkins
2016-12-15 01:14:13 UTC
view on stackexchange narkive permalink

Come ha affermato un altro utente, in base alle regole di conformità PCI, questo è perfettamente accettabile.

Volevo chiarire un po 'esattamente perché le cose sono in questo modo. Prima di tutto, le prime sei cifre del numero della carta costituiscono il BIN, un numero che è considerato "noto". Questo è un numero assegnato all'istituto che ha emesso la tua carta e tutti gli altri titolari di carta che sono membri di quell'istituto condividono il BIN. Quindi mostrare il BIN non fornisce a un utente malintenzionato alcuna informazione che non può ottenere semplicemente guardando l'elenco BIN. Dal momento che oscurare il BIN fornisce solo una quantità di sicurezza marginale (alcuni direbbero "banali"), perché mascherarla? Il codice BIN in chiaro è utilizzato abitualmente nell'elaborazione dei pagamenti e mascherarlo creerebbe molti più grattacapi per un aumento quasi nullo della sicurezza.

La visualizzazione degli ultimi quattro è in genere il miglior compromesso tra la visualizzazione di troppe informazioni e informazioni insufficienti per identificare in modo univoco la carta quando viene utilizzata per la riconciliazione, ecc. Se lavori molto con i numeri di carta di credito, occasionalmente ti imbatti in due numeri di carta mascherati identici, ma con una probabilità di 1 / 10.000 che accada.

Queste due cose prese insieme, probabilmente tornerai ancora al punto "stai dando a un ladro di dati dieci numeri, il che riduce il suo spazio di ricerca a 1 milione, e il checksum, che lo riduce a 100.000! "

Hai un punto valido, ma cosa significa? Significa che il ladro ora ha un elenco di 99.999 numeri di carte di credito cattive e 1 buono, senza modo di dire quale sia quello giusto. Il numero della carta di credito non contiene intrinsecamente alcuna informazione che ti consenta di sapere quando hai il numero "giusto". Non è come risolvere un puzzle crittografico; è necessario presentare la carta per un pagamento per sapere se è "buono" o meno. Ciò significa che per rompere anche UNA carta, devi compromettere la piattaforma di pagamento di un commerciante ed eseguire una media di 50.000 transazioni per trovarla. Considerando che i commercianti pagano per transazione, è molto nel loro interesse assicurarsi che qualcuno non possa fare questo genere di cose. E anche se il commerciante era sciatto nel proteggere le credenziali del suo account commerciante, i processori di pagamento spesso rilevano questo genere di cose e chiudono l'account in pochi secondi.

#6
-1
Myles
2016-12-12 16:02:59 UTC
view on stackexchange narkive permalink

Negli anni '90 ti saresti dovuto preoccupare un po '. Al giorno d'oggi non lo fai, la clonazione del chip RFID, o l'ottenimento del codice di sicurezza a 3 cifre e della data di scadenza insieme al numero della tua carta è molto più preoccupante che essere semplicemente in grado di "indovinare il numero della tua carta".

In teoria, conosco già il numero della tua carta a causa dell'algoritmo che hai citato, modulo 10 o Luhn. Queste informazioni da sole non hanno valore senza il resto dei dati. Se la ricevuta della carta di credito non ce l'ha, stai bene.

"Conosco già il numero della tua carta a causa dell'algoritmo che hai citato, modulo 10 o Luhn" - eh?Una singola cifra di controllo non compenserà le 6 cifre mancanti.
Ma non sono solo 6 cifre.Anche i primi 4 di una carta di credito sono piuttosto statici.Ci sono il MII, lo IIN, il codice dell'emittente, la cifra di controllo e alcuni ben noti "codici extra" che si collegano alla data di scadenza, alla data di emissione, ecc. Ecc. Su una carta di credito a 16 cifre solo circa 9 cifre sono effettivamente "tue"e anche in quei 9 ci sono alcuni schemi che possono essere seguiti.
@Blorgbeard immagino che non hai capito cosa è stato scritto.Utilizzando l'algoritmo, è possibile generare ogni singolo numero di carta di credito mai creato.Sicuramente conosco ogni singolo numero di carta di credito nel mondo.Tuttavia, non ho la data di scadenza o di inizio OPPURE le 3 cifre di controllo ..... il che significa che conoscere il numero della carta non ha conseguenze.Prima di rispondere, capisci a cosa stai rispondendo.
Questa è spazzatura.Potresti generare casualmente numeri di carte, ma questo non significa che tu sappia quali sono i numeri effettivi, emessi, per non parlare del mio.
@Blorgbeard ancora una volta sembra che tu abbia frainteso quello che sto dicendo e ti capita di imbatterti esattamente in quello che sto cercando di ritrarre.La cosa esatta che sto dicendo è "potrei generare tutte le carte del mondo, una delle quali sarebbe la tua, ma non avrei alcuna informazione per aiutarmi oltre al fatto che sapevo di avere il tuo numero di carta nella mia lista.Avere il numero completo della carta di credito non è di alcuna utilità per un truffatore in quanto ha bisogno di più informazioni, quindi se i numeri visualizzati sono visualizzati o meno sulla ricevuta non ha importanza ".Spero che ora tu capisca.
#7
-1
Thiyagu
2016-12-14 16:30:09 UTC
view on stackexchange narkive permalink

Il numero PAN può variare da 13 a 19 cifre e secondo lo standard di sicurezza dei dati del settore delle carte di pagamento le prime sei cifre e le ultime quattro cifre del PAN possono essere visibili e il numero tra i numeri deve essere mascherato



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...