Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 12
Пару раз я видел кассовые чеки, где были указаны также первые 4 цифры. Посмотрев на банковские карты своей семьи, я обнаружил у них один и тот же префикс.
Это тип платёжной системы. Виза начинается на «4», мастеркард — 5, мир — 2. Остальные 5 (?) цифр обозначают организацию, кажется называется это банковским идентификатором. Если у вас в семье у всех сбер — то возможно, что эти цифры будут одинаковы.
Остальные цифры — это уже номер счёта. Кроме последней — проверочное число или контрольная цифра.
Вообще, чем меньше светишь свой номер — тем лучше. Но выходит, что самая секретная часть — это цифры с седьмой по предпоследнюю.
Посмотрев на банковские карты своей семьи, я обнаружил у них один и тот же префикс
Первые 6-8 цифр в номере карты это bin (идентификатор [филиала] банка). Последняя — контрольная сумма. Такчто 'секретных' из первой и последней четверки всего три символа.
Но, скажите, почему вы в этом видите уязвимость?
В смысле почему канал передачи информации по sms вы считаете более надёжным, чем по https ?
Я не считаю, что передача информации по SMS более надёжна, чем https.
Мой point был такой. Предположим, что злоумышленник получил доступ к аккаунту жертвы на сайте, но не имеет её второго фактора аутентификации — мобильного телефона, потому не может просто переслать себе деньги. Он решает оплатить что-то с помощью карты. Для этой задачи раньше ему нужно было подобрать больше десятичных цифр, чем после изменений в алгоритме. (Особенно с учётом того, что последние цифры являются полупубличной информацией, так что в теории их можно где-то найти.) Комбинаторная сложность в конкретном сценарии уменьшилась.
Мой point был такой. Предположим, что злоумышленник получил доступ к аккаунту жертвы на сайте, но не имеет её второго фактора аутентификации — мобильного телефона, потому не может просто переслать себе деньги. Он решает оплатить что-то с помощью карты. Для этой задачи раньше ему нужно было подобрать больше десятичных цифр, чем после изменений в алгоритме. (Особенно с учётом того, что последние цифры являются полупубличной информацией, так что в теории их можно где-то найти.) Комбинаторная сложность в конкретном сценарии уменьшилась.
Возможно я буду не прав, но это ведь не уязвимость. Это баг, который видимо был пройден мимо QA, если они были на тот момент) я то ожидал сейчас статьи с инъекциями, подменой хешей и прочей стори)
Да тут даже не баг, а скорее просто понижения уровня безопасности.
Это как сравнивать уровни безопасности 4-х и 6-ти пиновых паролей.
Как бы 6 надёжнее чем 4, но и 4 хватает, тем более что обычно не более 3-х попыток на перебор.
Это как сравнивать уровни безопасности 4-х и 6-ти пиновых паролей.
Как бы 6 надёжнее чем 4, но и 4 хватает, тем более что обычно не более 3-х попыток на перебор.
Можно спокойно разглашать свой номер карты.
Для перечислений на нее, к примеру.
Срок и CVV — то уже личное.
Для перечислений на нее, к примеру.
Срок и CVV — то уже личное.
нельзя. Для того, чтобы не светить реквизиты карты — уже придумывают всякие ссылки для мгновенной оплаты. И это правильно. Либо СБП — по номеру телефона.
CVV далеко не все ресурсы спрашивают, + у крупных «доверенных» есть возможность ещё и проводить платежи без подтверждения по смс, а подобрать срок имея полный номер — дело нескольких минут даже вручную.
Уязвимость, которой невозможно воспользоваться — это не уязвимость
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как я нашёл уязвимость в QIWI и заработал $200