it-swarm.dev

Al giorno d'oggi non è ancora sicuro inviare un numero di carta di credito via e-mail?

Sappiamo tutti di non farlo, ma qualcuno ha inviato via email il mio numero di carta di credito e il codice cvv a Gmail.

Mi chiedo se il rischio è così basso che non devo chiamare per cancellare la mia carta.

L'e-mail viene inviata dall'account di posta elettronica di un ISP rispettabile, tramite il suo dialup ADSL (l'ISP è il più grande del paese) al mio indirizzo gmail. È sicuro presumere che l'ISP, collegato al backbone, consegnerebbe l'e-mail al server Gmail senza passare attraverso un PC non sicuro? Quindi non ho bisogno di cancellare la mia carta?

29
Anddd

Vediamo:

Anche se quello che dici è giusto e l'ISP è solido come il rock

  1. Ti fidi di questo "qualcuno"? In caso di risposta negativa, annullare la carta di credito in ogni caso.

  2. Il numero della tua carta di credito + CVV è ora nella cartella "Inviati" di questa persona, se la sua casella di posta verrà attaccata con un hacker avrai CC.

  3. Le informazioni sulla tua carta di credito verranno archiviate per sempre sui server di Google

  4. Lo annullerei
41
AaronS

La posta elettronica non è un modo sicuro per condividere i numeri di carta di credito

Il metodo che descrivi non è sicuro per una serie di motivi. Questi includono:

L'invio di numeri in testo normale non è sicuro

La tecnica che hai descritto potrebbe aver comportato l'invio dei numeri delle tue carte in chiaro (l'atto di inviare l'e-mail dal computer all'ISP). Questo non è sicuro. Potrebbe essere stato raccolto in vari modi

Le e-mail sono persistenti in più punti

Quel numero di carta di credito può ora esistere in più punti

  • Nella cartella "inviato" del computer da cui è stato inviato
  • Sui server ISP
  • Nell'account Gmail

Ora che sono solo 3 posti che potrebbero essere memorizzati, quando si esegue il backup degli account potrebbero esserci già molte, molte copie dei tuoi numeri sparsi in tutto il mondo.

30
Andy Smith

Penso che le risposte di cui sopra siano corrette e che l'invio dei dettagli della carta di credito tramite e-mail non sia sicuro. Tuttavia, dato che eri particolarmente preoccupato per l'intercettazione in transito piuttosto che per i vari punti di stoccaggio menzionati nelle altre risposte, vale la pena considerare almeno un punto di vista contrarian:

Considera l'albero di attacco:

Reti fisse (all'interno dell'azienda):

  • Un utente malintenzionato dovrebbe violare i controlli di accesso fisico (o essere un riparatore di fotocopie) o essere un addetto ai lavori
  • Superare un NAC (ma la maggior parte delle aziende non lo possiede) o disporre di una workstation
  • Nelle reti commutate (tutte le società moderne) non hai accesso a molto traffico di trasmissione
  • Quindi devi avere accesso a un router o uno switch, supponendo che tu non sia un amministratore di rete, questo significa sfruttare una configurazione errata o una vulnerabilità (va bene nessun problema di metasploit, la maggior parte delle organizzazioni fa schifo a patchare in particolare i dispositivi di rete) ma lascia che ti ascolti Cisco/Juniper ecc. E patch ogni 3 mesi (almeno roba davvero brutta) o giù di lì e almeno autentichi tutto su un server RAS
  • Anche se puoi avere accesso, avvelenamento da ARP, avvelenamento da cache DNS qualunque, allora hai il problema successivo: volume. Esistono moltissimi dati che accedono a un router principale oa un interruttore a chiave. Molti sono abilitati per gigabit ora e questo significa bere da una manichetta antincendio. Anche con un monitor DLP di rete legittimo è necessario un riassemblatore di pacchetti ad alte prestazioni, un buon hardware e software e quindi la capacità di eseguire una corrispondenza dei pattern efficace. Quindi ottenere l'e-mail di quel CEO molto difficile, probabilmente ottenere la password dispari non è poi così male
  • Questi dati sono anche temporanei: una volta che i pacchetti sono spariti, sono andati (anche se gli accessi da amministratore possono avvenire spesso) ma c'è una finestra di opportunità limitata
  • In alternativa, potresti fare quello di cui ho parlato prima, che è stato messo lo sniffer sulla scatola che desideri monitorare, anche se lo stesso problema presuppone un accesso ragionevole che è un errore di configurazione o una vulnerabilità di sicurezza o la mancanza di controlli anti-malware. Anche con i primi due è un attacco molto più mirato

Reti pubbliche:

  • Sembra un obiettivo molto più semplice: non puoi più sentirti a tuo agio con i controlli di accesso di box intermedi o dispositivi di rete
  • Ma diamo un'occhiata a qualcosa come l'e-mail: la maggior parte degli agenti di trasferimento di posta (MTA), inclusi quelli di grandi dimensioni come Google, ora usano TLS ottimistico, il che significa che la maggior parte della tua e-mail che probabilmente contiene le tue informazioni più sensibili è probabilmente crittografata in transito senza che tu debba fare altro
  • Anche le reti MPLS condivise hanno VLAN tagging
  • Ancora una volta hai il problema dei tubi di fuoco ma un milione di volte peggio e la pagina delle informazioni temporanee
  • Scopri quanti incidenti di perdita sfruttati effettivi trovi su datalossdb.org o su sec app di web sull'intercettazione di dati in transito

Rete wireless:

  • Azienda: WPA2 è uno standard di fatto, non è perfetto ma si ottiene la crittografia senza fare altro
  • Home/Starbucks ecc.: Questo è un rischio legittimo in realtà il miglior e unico esempio che OWASP dà per no. 10 mancanza di crittografia dei trasporti è l'intercettazione su una rete wireless domestica non protetta - diavolo anche le auto di Google su streetview possono farlo. Ma anche qui la maggior parte/tutte le aziende che forniscono l'accesso remoto forniscono una VPN, quindi hai bisogno di altro?

Post di blog completo: http://www.rakkhis.com/2010/08/why-ssl-is-just-not-that-important.html

Probabilmente dovresti comunque annullare la carta, ma considerando altri controlli come il limite sulla carta, se hai il 3D sicuro (ad esempio verificato dal visto) abilitato, controlli le tue dichiarazioni, i sistemi di rilevamento delle frodi delle tue banche; se questi comportano il rischio all'interno della tua propensione al rischio, puoi decidere che il rischio di intercettazione in transito o di stoccaggio è abbastanza basso da poter essere accettato.

12
Rakkhi

I server di posta di Google supportano AUTH TLS come preferito, quindi ci sono buone probabilità che la tua carta di credito sia in transito crittografata. Ancora una volta, ora hai archiviato i dati della 'traccia 2' che non dovrebbero essere, vale a dire il tuo CVV.

Se questa carta di credito è in realtà una carta di debito, sicuramente cancellerei immediatamente. Le carte di credito hanno una protezione abbastanza buona/senza problemi per attività fraudolente. Sicuramente mi sentirei a disagio, e anche tu probabilmente ti sentirai a disagio perché non avresti pubblicato la domanda, quindi probabilmente mi farebbe solo riemettere la carta di credito.

Se quel "qualcuno" è un commerciante, potresti non voler fare affari con loro se sono così sprezzanti con i dati dei tuoi titolari di carta. Se quella persona è una persona fidata, allora devi valutare il motivo per cui la tua carta ti è stata trasmessa in una e-mail e correggere quel processo.

6
M15K

Ti consiglierei comunque di sostituire la tua carta per essere al sicuro, ma se fosse la MIA carta, non me ne preoccuperei.

Ovviamente non dovresti aumentare inutilmente il rischio per la tua carta di credito, ma detto tutto ciò, sostituisci la tua carta ogni volta che paghi in un ristorante e il cameriere se ne va con la tua carta e la riporta?

Quando consideri il rischio aggiunto per la tua carta in questo caso particolare che hai descritto, penso che valga la pena considerare altri rischi per la tua carta durante il suo utilizzo (di solito nell'arco di qualche anno). Altri scenari di utilizzo delle carte in genere includono:

  • Ristoranti/Bar - non hai mai pagato con una carta di credito prima? Quanto è facile scrivere o memorizzare i dettagli della tua carta
  • Call center: non hai mai fornito i dettagli della tua carta al telefono?
  • Negozi (hai mai notato quanti negozi hanno telecamere a circuito chiuso?)
  • Centri comunitari/palestre di cui sei membro
  • Naturalmente così tanti siti Web che non hai modo di sapere chi ha accesso a tali dettagli

Ci sono molti posti in cui qualcuno può ottenere sia il numero della carta sia la data di scadenza CVV + e in molte di queste situazioni potrebbe già sapere qualcosa su di te come il tuo nome e indirizzo completo e forse anche la tua data di nascita.

Quindi confrontando quei rischi, che quasi tutti quelli che hanno una carta di credito devono correre, con questo na email (e una buona panoramica di @Rakkhi su cosa significhi essere in grado di catturare questa email): Penso gli altri scenari di fuga sono molto più probabili che da Gmail o da qualcuno che annusa la rete.

6
Yoav Aner

Questa è una vecchia domanda, ma penso che dovresti cancellare la carta.

Tutti hanno parlato della probabilità che qualcuno intercetti l'e-mail in transito. Questo è ... molto improbabile a meno che la tua rete locale non sia già stata MiTM.

La superficie di esposizione ENORME è l'account di posta elettronica di quell'altra persona con la sua password indubbiamente scadente o cattive abitudini di navigazione/problemi di virus; il tuo CC si trova nella cartella inviata ed è semplicissimo cercare automaticamente tali informazioni e estrarle tramite botnet. Anche il tuo account è un problema, ma almeno hai il controllo. Non hai alcun controllo sull'altro account.

2
Josh

Perché questa festa ha avuto il tuo pan e cvv?

Se glielo hai fornito, dovrebbero essere conformi a pci-dss e, per mia conoscenza limitata di ciò, non consente l'invio o la memorizzazione di Pan non crittografato. I dati CVV non devono essere memorizzati.

Mentre, come altri hanno già detto, un sacco di traffico SMTP può essere crittografato, è molto difficile determinare in anticipo se questo è il caso di un determinato messaggio, ma è praticamente impossibile sapere se un'e-mail sarà archiviato in modo conforme da una terza parte.

1
symcbean