Krzysztof Halasa wrote:

> "J.F." <j...@p...onet.pl> writes:
>
>> Rzeczywiste zagrozenie, czy komus sie cos wydaje ?
>>
>> Fakt, ze 6 cyfr nr karty ustalic latwo. Kolejne juz trudniej. Czy
>> jest jakas strona, ktora pozwoli sprawdzac losowe numery ?
>
> To jakieś kompletne brednie, to jest po prostu zwykły brutalny atak,
> znany "od zawsze". Same numery kart bardzo łatwo zresztą zdobyć, nie
> trzeba zgadywać. Problem nie leży w numerach kart (ani nawet w kodach
> CVV2/CVC2), tylko w odpowiedzialności sprzedawcy i jego możliwościach
> np. identyfikacji odbiorcy itd.
> "Towary wirtualne" o małej wartości, cóż, całkowite ryzyko ponosi
> sprzedawca.

Pewnie że jest problem - jeżeli od danego merchanta lecą masowo requesty na
nieistniejące numery kart, to jest to atak polegający na zgadywaniu
właściwego numeru. To powinno zablokować takiego merchanta po pewnej
rozsądnej liczbie takich prób. W zacytowanym tekście jest napisane, że
MasterCard jest przed tym zabezpieczony. I to jest prawidłowe działanie.

Podpowiem Tobie, że gdyby witryny nie były zabezpieczone przed tego typu
atakiem, to wszędzie gdzie się otrzymuje kod np. 6 cyfrowy, byłyby ataki.
Tzn. scenariusz byłby taki, że ktoś wchodzi w posiadanie hasła Twojego np.
do poczty, tam widzi maile z banku, próbuje do banku zalogować się tym samym
hasłem (idetyfikatory logowania są często w mailach, np. są to numery CIF
czy NIK czy inny tego typu). Następnie potrzeba "tylko" 100.000 prób
odgadnięcia hasła jednorazowego (nieważne czy z tokena czy z SMSa). Czy to
brzmi prawdopodobnie? No nie brzmi - każdy bank zablokuje to po 3-ciej
próbie. A tu masz - VISA pozwala na nieograniczoną liczbę prób w ten sposób?
Nie brzmi to jak wiocha? No brzmi - to nadal uważasz, że tego typu podatność
w globalnym systemie VISA to "kompletne brednie"?

--
Wysłane z pola.