Parkovacímu gigantu EasyPark unikla data zákazníků. Působí v řadě měst Česka včetně Prahy
Ilustrační foto: madartzgraphics / pixabay.com
Únik se týkal i čísel platebních karet, podle společnosti však zneužití nehrozí.
Únik se týkal i čísel platebních karet, podle společnosti však zneužití nehrozí.
ka.vojtech@gmail.com
Tak pokud to mají udělané správně, žádné číslo karty uložené ani nemají. Místo toho si při přidávání karty u vydavatele vyžádají token, svazující jejich „obchod“ a číslo karty, a teprve to si u sebe (šifrovaně) uloží. Při opakovaných platbách se do karetního systému přepošle jen token, vydavatel zkontroluje, zda vše sedí (pokud by to poslal jiný obchod, neprošlo by to) a potom transakci povolí. Reálně tedy tokeny útočníkům k ničemu nejsou, pokud pomocí nich nechtějí platit za parkovné 🙂 Ať token používají nebo ne, reálně by ale měla být všechna platební data šifrována. Pokud ne (a že „unikly“, naznačuje, že… Číst vice »
Neznáme podrobnosti o útoku. Mohly uniknout i šifrovací klíče.
Nemáme podrobnosti. Jen dodám, že jedna věc jsou data na disku (šifrovaném) a druhá věc jsou data „na cestě“ (také šifrované) a třetí věc je interní útok, kdy se někdo nebo něco přihlásí do databáze a provede „select * from customers“, načež mu databáze vypíše celou tabulku zákazníků.
PCI DSS je starost platebni brany, ne obchodnika (pokud nepouziva vlastni platebni branu, coz je drahy development ktery ma smysl jen u tech nejvetsich korporaci). Unik dat v zasifrovane podobe je taky unik, jen to zabere trochu vice casu na desifrovani, viz LastPass