Сигурност или резервация

Добър ден, Pikabutians, Peekabushniks, Peekabubtsy Приятели!

Работя в областта на информационната сигурност (ИС), така че в ежедневието, след работно време, забелязвам много нарушения на ИС в различни компании. Ще ви разкажа за една много известна услуга, чието име можете да видите на снимките на тази публикация или в заглавието.

Целта на тази публикация е да ви предупреди да не компрометирате вашите банкови карти.

Отиваме на сайта, избираме стая с приемлив бюджет.

сигурност

Избираме опцията, която харесваме и започваме да попълваме данните за резервация.

резервация

Тогава най-интересното, всъщност, за което пиша този пост.

Попълнете данните на картата.

Генерирах номера на картата в първата попаднала онлайн услуга, за да не лъсна моята.

Отбелязвам, че CVV кодът и датата на изтичане на картата са посочени от булдозера.

сигурност

След това потвърдете въведените данни.

Обърнете внимание на бележката под линия „Не се притеснявайте – няма да трябва да плащате преди настаняване“! Защо тогава въвеждам данните за картата си? Все още ли имате съмнения относно това събитие? Разбира се, разбирам, че те са толкова презастраховани и плащат само при настаняване, но това не се прави.

Така че, ако въведете умишлено неправилни данни, включително CVV кода, резервацията е завършена успешно. Службата обръсна каквото му подхвърлиха. Всъщност са изпратени данните, а не плащането.

сигурност

Тълкувам всичко по-горе.

И на всяка крачка ни предупреждават, не давайте данни за карти дори на банкови служители!

Както трябва да бъде.

Когато пазаруваме онлайн от нормални сайтове, ние се пренасочваме към приложение за плащане като 3D-Secure.

сигурност

Тези приложения са PCI DSS сертифицирани (Стандарт за сигурност на данните в сектора на разплащателните карти). Съответно данните на картата са криптирани и не се изпращат на "продавача".

Чакам предложения как да накажа Букинг. Засега има идеи да се свържете с Централната банка или Роскомнадзор.

Благодаря за вниманието. Извинявам се за объркването, писах в ограничено време.

  • Най-доброто отгоре
  • Първо отгоре
  • Актуален топ

Не толкова отдавна вече обсъждахме резервацията и прехвърлянето на данни от клиентска карта в най-отворената форма, за да не се повтаряме - по връзката http://pikabu.ru/story/buking_razdaet_dannyie_kart_5027506#comment_86785494

Няма да им направите нищо, с такива услуги правилата на дребния шрифт на потребителското споразумение и там всичко е ясно - решили сте да го използвате, използвате го както е и според техните условия, ако не ви харесва - махнете се, интернет е голям. уви

А PCI DSS сертифициране да мине на техния мащаб е ужас, какви пари и условия, никога не им трябва.

Ще разкрия "тайната". Съхраняването на картови данни е отговорност и за да може визата да отвори портала за директно получаване на данни, трябва да се сертифицирате.

Само няколко администратори ще имат достъп до базата данни и двамата ще носят наказателна отговорност за това.

Там обикновените администратори нямат достъп до базата данни. Има тестови бази данни, които се изпълняват на тестови сървъри с код на разработчици, преди да бъдат изпратени в производство. Администраторите все още имат достъп до тях. При продажбата, освен програмния код, никой не работи с базата данни и 1-2 души изобщо имат възможност да се обърнат към продукта.

Администраторът на базата данни все още има достъп поне за техническа работа и има root пароли за базата данни. Друг е въпросът, че в същото регистриране на достъпа отива до всичко и е ясно кой е обходил.

Може би. Просто от съображения за сигурност администраторът на базата данни няма пълен достъп. Отделни инструменти събират статистика за базата данни. Ако се виждат задръствания, непланирано натоварване, тогава причината се изяснява и само ако е необходимо, се предоставя достъп на администратора.