ברשימה שפורסמה באתר cyber-warrior הטורקי, מופיעים פרטי חשבונות וססמאות של משתמשי אתר Homeless.co.il הישראלי, וככל הנראה פרטים שנגנבו מאתרים ישראלים אחרים.

ארז וולף, בעלי we-cms, שדיווח על כך לראשונה כתב אף בפרסום טוויטר שלו כי חלק קטן מהססמאות הושגו, מאתר articles.co.il הישראלי, ולפי העדויות בפורום, לכאורה גם מאתרים ישראלים אחרים. הססמאות ושמות המשתמש התפרסמו בקובץ אקסל שהועלה לפורום טורקי בידי אחד הגולשים - אך כעת כבר אינו זמין שם.

http://www.ynet.co.il/articles/0,7340,L-3920970,00.html

-----------------------------
S e g m a n y

גם אם היו גונבים 320000 שמות משתמש, הם לעולם לא היו מצליחים למצוא דירה נורמלית במחיר נורמלי להשכרה בפ"ת...

"אילו שמוכנים לוותר על חירות חיונית כדי להרוויח ביטחון זמני, לא ראויים לא לחירות ולא לביטחון - ומהר מאוד חסרים את שניהם."
-בנג'מין פרנקלין

ציטוט:

במקור נכתב על ידי Carl Sagan "If you wish to make an apple pie from scratch, you must first invent the universe"

-----------------------------
S e g m a n y

למרות שאני בספק גדול אם מגניבת 30K פרטי כרטיסי אשראי תורכיים, אפשר יהיה למצוא מעל 500 שאשכרה אפשר לגנוב בהם משהו.

.

זה מה שקורה כששומרים את הסיסמאות כמו שהן במסד הנתונים ולא טורחים לקרוא אפילו מאמר אחד בנושא אבטחת מידע (מפתחי האתר)

מהצד השני, זה מה שקורה כשמשתמשים באותה סיסמא בכל מקום.

שום חברות באתר משחקים/קניות וכו', ובכ"ז הם "צריכים" לזכור ססמאות ל-10 אתרים שבהם מידע רגיש (מבחינתם) שמתוך סתם זדון, או מתוך מניע פלילי של הונאה/גניבה למטרת רווח, אפשר לפגוע בהם דרכם (להרבה אנשים 2-3 כרטיסי אשראי, 1-2 חשבונות בנק, 1 קופ"ח, 1 חברת סלולאר וכו' וכו'). עם כל הכבוד להאקרים והסכנות שלהם, כמו גם ההילה הילדותית שבסיס אלה ש"להם זה לא יקרה כי הם תמיד מקפידים לעשות X, Y ו Z"), יש באמצע עוד חיים לחיות. ואם אני צריך לזכור 10 סיסמאות שונות, או להסתכן בצורה מסויימת, אני בוחר באמצעי השני. גם כל עולם האבטחה והסירבול של הרשת הפך לנטל, לא קטן מאשר סכנת ההונאה.

.

יש תוכנות שזוכרות את הסיסמאות לאתרים בשבילך ויכולות ליצור סיסמאות רנדומיות.
עליך לזכור רק את סיסמת המאסטר.

עולם האבטחה הוא נטל רק למי שלא שומר על הכללים, הסיפור התחיל מזה שמישהו (ישראלי, מן הסתם) שמר את הסיסמאות כמות שהן לתוך מסד הנתונים וחשב "יהיה בסדר".

זכותך כמובן, להישאר עם אותה סיסמא, אבל אל תגיד אחר כך שלא ידעת...

עריכה:
אני כן מסכים איתך שיש פה סולם כלשהו ולא צריך להיות פראנואידים.
אבל כן צריך להפנים שזה לא טוב לשים את כל הסיסמאות בסל אחד.

ישנם המון מקרים של אנשים שפשוט שומרים את כל הסיסמאות (גם אלו שהן אופליין, כמו קוד כרטיס אשראי) על מסמך וורד במחשב.
יש המון עובדים שמציגים לעיני כל בפתק POSTIT את שם המשתמש והסיסמא.

בעולם של היום, בו האינטרנט נעשה נגיש, אנשים מפרסמים את פרטיהם לכל דכפין באתרים כאלו ואחרים זו פרצה קוראת לגנב.
עצם העובדה שאתה ניגש לסודות כמוסים באינטרנט אמורה להדליק אצלך נורה של "מה יקרה אם מישהו יגלה את הסיסמא"

ויש גם שלב בחיים שבו הם הופכים, איך נגיד? לא בדיוק "מסובכים", אלא יותר "סבוכים" - רב מימדיים, כמו מודל ענק של מולקולות, ושם מכל הכוונים יש סכנות פוטנציאליות, ואם תקח בחשבון שיש לך ילדים (ולפעמים גם הורה, או שניים, שכבר לא כל כך "מסתדרים עם כל המחשבים האלה", אבל כמובן שהעולם לא משתין לכוונם, ואין להם אפילו במאמץ את מסלולי הפעילות ה"אנאלוגיים" המוכרים להם) אז תראה (לא אתה אישית, מן הסתם) שכל הזמן לעקוב אחרי מה שעבורך הוא מאוד פשוט, זה למשוך את השמיכה הקטנה (של זמן+יכולת עיבוד מידע חדש) לכיסוי רגל, וחשיפת הרגל השניה.

אני חו"ח לא בא "לילל", אבל אני לעיתים קרובות נתקל בליגלוג שחצני, כמעט תמיד מצד אנשים בעשור השני/שלישי לחייהם על "אלה שאמרו יהיה בסדר ועכשיו שילכו להתלונן". זה לא ויכוח מצידי על עניין טכני, אלא על גישה. אני לא חושב שאני בור במחשבים, אבל אני חייב לציין שכאשר טיפלתי במכרז של החברה שלי לפיתוח תוכנת עבודה ייחודית (לא משהו גדול) רוב המתכנתים שהגיעו לתת מצגת נראו לי, איך נגיד?, חברה שלא בדיוק מנהלים תקשורת דו סיטרית עם לקוח (אני במקרה זה) אלא רגילים לחיות בעולם שבו המתכנת הוא משה, והשאר הם בני ישראל שצריכים לחכות שירד אליהם. מצחיק אבל אני מאמין שלפחות לכמה מהמציגים הגישה הזאת עלתה בכך שהם לא קיבלו חוזה (שהיה מעולה, בדיעבד, עבור כל מתכנת כפי שאמר בסיום העבודה מי שביצע אותה).

.

מתכנתים טובים בלתכנת. אבל אם אתה צריך מישהו שיחשוב על התמונה הכוללת ועל דברים כמו workflow, ui וכו' - אתה לוקח מנתח מערכות.

“Much of the social history of the Western world over the past three decades has involved replacing what worked with what sounded good”

מן הסתם אלו היו מנתחי מערבות, או what ever you say. תאמין, או לא, יש אנשים שהם לא טכנופובים אבל בכ"ז לא ממש מעניין אותם מה ההבדלים: מספיק לדעת שאיש מערכות המידע "שלך" מוודא שמי שמולנו הוא מי שאתו "מדברים ביזנס". בשורה התחתונה התיאור שלי תקף ועומד, גם אם (חו"ח) קראתי לו "מתכנת".

.

כל תפקידו של מנתח המערכות הוא לשמש מתווך בין לקוח למתכנת וזאת משתי סיבות עיקריות

1. מתכנתים ולקוחות, גם אלה שהם מתקדמים טכנולוגית - לא תמיד מדברים באותה שפה. מישהו צריך לתרגם לשפת המתכנתים ביטוים כמו "אני רוצה מסך שיעשה ככה וככה"

2. האינטרס של המתכנתים ובצדק, הוא הרבה פעמים לעשות את העבודה במינימום זמן. המנתח תפקידו להגדיר להם במדויק מה לעשות ולפעמים זה כולל הוראות "איכותיות".


הנקודה המרכזית שלי היא, שחלק ניכר מתפקידו של המנתח זה לדבר עם הלקוח. אם הוא לא מסוגל לעשות את זה - אז הוא במקצוע הלא נכון או שהיה לו יום רע במיוחד. (או שאלה לא היו באמת מנתחי מערכות)

“Much of the social history of the Western world over the past three decades has involved replacing what worked with what sounded good”

אלה היו כנראה מתכנתי מערכות - אני קורא "מתכנת" ל 9 מתוך 10 אנשי מחשבים (מבחינתי גם גסי הרוח באייבורי עם החלוקים הלבנים הם מתכנתים) בדיוק כמו ש"אנשים" קוראים שף לכל אחד שלובש סינור לבן במטבח המסעדה "לא בוררים בעדשים". וברור שמנתח המערכות הוא במקצוע הנכון - הבעיה היא שזה מקצוע שהוא היום מה שלפני 35 שנה אמרו על טייסי אל-על.

.

ציטוט:

במקור נכתב על ידי g.l.s.h אלה היו כנראה מתכנתי מערכות - אני קורא "מתכנת" ל 9 מתוך 10 אנשי מחשבים (מבחינתי גם גסי הרוח באייבורי עם החלוקים הלבנים הם מתכנתים) בדיוק כמו ש"אנשים" קוראים שף לכל אחד שלובש סינור לבן במטבח המסעדה "לא בוררים בעדשים". וברור שמנתח המערכות הוא במקצוע הנכון - הבעיה היא שזה מקצוע שהוא היום מה שלפני 35 שנה אמרו על טייסי אל-על.

הנקודה שלי היא לא - איזה שם נתת להם. הנקודה שלי היא שאם כל כך הרבה אנשים לא ידעו איך לדבר עם לקוח - כנראה שראיינת את האנשים הלא נכונים.

וסתם מתוך סקרנות . מה אמרו לפני 35 שנה על טייסי אל על?

“Much of the social history of the Western world over the past three decades has involved replacing what worked with what sounded good”

ותאמין לי שאני יודע לזהות איפה נגמרת "סתם התנשאות" של ספק ואיפה מתחילה סתם חוסר מקצועיות. אין לי זמן פנוי לפגישות עבודה עם חובבנים. ומאחר ובין השאר יוצא לי לעבוד גם עם זן (נשי/הומואי) המכונה "פרטי פלנר" גם לא חדש לי לפגוש אנשי מקצוע שחיים עם האף בעננים.

.

ואם הם התנשאו בצורה מוגזמת (כמו שאתה אומר) אז משהו לא מסתדרר לי בתמונה הזאת.

“Much of the social history of the Western world over the past three decades has involved replacing what worked with what sounded good”

אסביר שוב, יותר בפירוט: הם לא ישבו עם משקפי שמש שחורות וקיסם בשיניים ושלחו אותי להכין להם קפה. "התנשאות" , כמו גם "גישה" היא גם ניואנסים שמבחין בהם אדם שעובד מול מגוון גדול של ספקים, או מכרזים. ועוד לא פגשתי איש מקצוע (בתחומים מכובדים לפחות) שלא ידע להסביר בפרוטרוט למה כל מה שחושבים על המקצוע שלו זה מוגזם/לא נכון.

.

ולמרות זאת, ייתכן שגם מה שאתה חושב על המקצוע שלי אינו נכון.

אם פעם יזדמן לך לשכור אותי תראה שאני לא מתנשא. (ואפילו לא ניתן להבחין בניואנסים כאלה)

“Much of the social history of the Western world over the past three decades has involved replacing what worked with what sounded good”

אלה מהילדים שבמקום להאכיל את העכבר הניחו עליו יד, החלו מזיזים אותו ימינה ושמאלה תוך שהם מתרחקים עימו מעבר לאופק ומילמלו במקביל ראשי תבות לועזיים חסרי פשר תוך התעלמות מהשחקן שביקש עזרה, מצרכי העכבר או מהשעה המאוחרת - הפכו כעבור פחות מעשור לאנשי מחשבים, מתכנתים ומנתחי מערכות. הילדים שסתם נתנו לעכבר גרגרי תירס ושאלו את השחקן אם הוא זקוק לעזרה בעוד משהו - הפכו ללקוחות של בתי תוכנה. העכבר הפך לבעל חנות לתיקון אנטנות ובהמשך חנות שכונתית למחשבים והשחקן הפך לביל גייטס.

נ.ב

חוששני כי ניסו לבצע עלי פישינג. קיבלתי הודעה על כך שספר [שלא רכשתי מעולם] בדרכו אלי והחיוב ירד כמקובל עם הזדמנות לעיין בחשבון ההוצאות שלי אם רק אקליד את המספר הראוי...

אתם לא מבינים מה הלך פה, הם למעשה ניסו לעזור לנו/
הם שמעו שיש פה בועת נדלן ,אז הם רצו לפרסם מודעות פיקטיביות עם מחירים אטרקטיביים על מנת לקרר את השוק.

“Much of the social history of the Western world over the past three decades has involved replacing what worked with what sounded good”

נה, לא יכול להיות שהוא אשם (ואני לא ציני). תשתיות מיקרוסופט הן "הכי טובות", לא? הוא השתמש רק במה שקבעו לו שהוא חייב להשתמש, בהתאם לטכנולוגיה שנתנו למתכנתים להשתמש בה...

נמאס לכם לזכור סיסמאות? לחצו כאן!

אבל התפרסם כאן שכמה האקרים טורקיםהצליחו להגיע לפרטי אשראי של ישראלים. לשמור פרטי אשראי זו כבר עבירה על החוק, מיקרוסופט או לא מיקרוסופט.

“Much of the social history of the Western world over the past three decades has involved replacing what worked with what sounded good”

רק בישראל?

אני שואל ברצינות, כיוון שאני מכיר מספר אתרים ששומרים פרטי אשראי: PayPal, Amazon Payments, כל חברה שגובה תשלום חודשי...

אני יודע משהו על איסור על שמירת ה CVV2, אבל לא על הפרטים האחרים...

נמאס לכם לזכור סיסמאות? לחצו כאן!

זה חוק ישראלי. אני חושב שצריך איזה אישור חריג כדי לשמור פרטי אשראי.
(לקבל פרטי אשראי יכול כל אתר)

עריכה : לא צריך לבקש היום אישור חריג. מספיק שתהיה לך הצפנה ברמה מאוד גבוהה. אני לא בקיא בהגדרה המדויקת של אותה הצפנה ולכן אעצור כאן. אשמח אם מישהו יוסיף מידע.

נ.ב. לא כל חברה שגובה תשלום חודשי שומרת את פרטי כרטיס האשראי. אתה יכול לקבל פרטי אשראי, להעביר לשבא עסקת תשלומים ולא לשמור.

“Much of the social history of the Western world over the past three decades has involved replacing what worked with what sounded good”

פרטי כרטיס האשראי אינם נשמרים בבסיס הנתונים של המערכת, אלא אך ורק לצורך ביצוע הגביה ותו לא. לפיכך גם פריצה לשרתי המידע לא תחשוף את פרטי הלקוחות. כאמצעי הגנה נוסף, מתבצעת בדיקה קפדנית לאימות פרטי הכרטיס מול חברות האשראי בכל קנייה וקנייה, בכדי למנוע אי סדרים או שימוש לרעה בכרטיס האשראי. חשוב לציין שעל פי חוק, כאשר נעשה בכרטיס 'שימוש לרעה', כלומר שימוש בידי מי שאינו מורשה לכך, אם יודיע בעל הכרטיס על כך לחברת האשראי יושב לו סכום הקניה.

http://www.gov.il/FirstGov/TopNav/Q...ers/QAPayments/

“Much of the social history of the Western world over the past three decades has involved replacing what worked with what sounded good”

http://he.wikisource.org/wiki/%D7%9...8% D7%90%D7%99

“Much of the social history of the Western world over the past three decades has involved replacing what worked with what sounded good”

א. זה שהם לא נשמרים אצלם, לא אומר שהחוק לא מאפשר
ב. הטענה על "לפיכך גם פריצה לשרתי המידע לא תחשוף את פרטי הלקוחות" מראה על חוסר הבנה מזעזע באבטחת מידע.

וכמובן אסביר את מה שאמור להיות מובן מאליו: פריצה לשרת, קרי, קבלת גישה לא מורשית למערכת שמאחורי האתר, מאפשרת לפורץ להתערב במידע העובר דרך השרת. אפילו ההצפנה שנחשבת על ידי רבים כ"הגנה" לא עוזרת כאן בכלל.

ההצפנה היא בין הלקוח לשרת, ולא משפיעה כלל על מה שקורה בשרת. פורץ *חובבן* ידע לשנות את המערכת כך שהיא דווקא כן "תשמור" את נתוני האשראי... על ידי שליחתם אליו (לא חסרות דרכים...). לכל היותר "אי שמירת הנתונים" מגנה על חשיפת הנתונים של אלה *שכבר שילמו* קודם ל"פריצה לשרתי המידע*. עד כאן על האיוולות בטענה המגוכחת.

ג. אימות פרטי האשראי בכלל לא נועד להגן על הלקוח (אלא על גובה התשלום), ועל כן הגדרתו של "אמצעי הגנה נוסף", כאילו לטובת הלקוח, גם היא משעשעת. לפחות ציינו נכונה שעל פי החוק תהיה העסקה בטבלה אם בוצעה ללא אישור בעל הכרטיס.

נמאס לכם לזכור סיסמאות? לחצו כאן!

ציטוט:

במקור נכתב על ידי שימי א. זה שהם לא נשמרים אצלם, לא אומר שהחוק לא מאפשר א. נכון, זו הייתה סתם דוגמא להמנעות משמירת מאגר פרטי אשראי. החוק שציטטתי אומר שאי אפשר "סתם " להחזיק מאגר פרטי אשראי בלי רישיון. ב. הטענה על "לפיכך גם פריצה לשרתי המידע לא תחשוף את פרטי הלקוחות" מראה על חוסר הבנה מזעזע באבטחת מידע. אני הבנתי שהכוונה למי שכבר שילם (בלשון עבר) או ישלם אחרי גילוי ההאזנה. מובן שמישהו יכול "להאזין" לתשדורת ולקבל את פקטי כרטיס האשראי שאני מוסר ברגע נתון. אבל גם אם הוא יצליח לעשות את זה , כשלא שומרים מאגר כרטיסי אשראי אין לו גישה לכל האנשים שאי פעם פקדו את החנות האינטרנטית/שרות וזה המון. ג. אימות פרטי האשראי בכלל לא נועד להגן על הלקוח (אלא על גובה התשלום), ועל כן הגדרתו של "אמצעי הגנה נוסף", כאילו לטובת הלקוח, גם היא משעשעת. לפחות ציינו נכונה שעל פי החוק תהיה העסקה בטבלה אם בוצעה ללא אישור בעל הכרטיס. אני לא בטוח שאתה צודק ואימות פרטי האשראי לא מגן כם על הלקוח בפני התחזות, אבל מכיוון שאין לי מידע בעניין אימות אשראי, אני בוחר שלא להתייחס לנקודה.

“Much of the social history of the Western world over the past three decades has involved replacing what worked with what sounded good”

הוא מגן על הלקוח שאליו מתחזים, כן (נניח. אם מאמתים את הפרטים, והם נכונים, ממילא העיסקה תאושר. האתר לא יודע מי העומד מאחורי הבקשה... אם לא מאמתים, לכל היותר זה בעייה של הלא-מאמת, אם הוא מזכה מישהו על סמך כלום - כשבקשת החיוב תגיע למסלקה, היא תידחה, ושוב אנו רואים שזו בעיקר הגנה על בעלי האתר...). אבל לא ללקוח הלגיטימי שבא לאתר ורוצה לשלם עם הכרטיס של עצמו. מהבחינה הזו, זה לא מוסיף שום דבר להגנה שלו...

נמאס לכם לזכור סיסמאות? לחצו כאן!

כן נועד, בין היתר, להגן על בעל/ת כרטיס האשראי.
לא אפרט, אך הגורמים העוסקים באבטחת כרטיסי האשראי,
יעלו, לא פעם, על שימוש בכרטיס שנגנב, עוד לפני שבעל/ת
הכרטיס ירגישו בחסרונו ו/או בשימוש שלא כחוק שנעשה בו.

לא דיברתי על עיסקאות תשלומים. דיברתי על חיובים חודשיים שאינם קשורים אחד לשני...

אשר להצפנה, משעשע. מה עניין שמיטה להר סיני? פרטי האשראי עוברים בכל מקרה... ואולי אפילו בצורה לא מוצפנת, אם זה אפשרי על פי החוק (בעבר ראיתי מספר אתרים שעושים זאת, ופרסמתי בבלוגי...)

נמאס לכם לזכור סיסמאות? לחצו כאן!

“Much of the social history of the Western world over the past three decades has involved replacing what worked with what sounded good”

* אם המאגר מוצפן בצורה שניתן לקרוא אותה, אזי ההצפנה חסרת ערך
* אם המאגר מוצפן בצורה חד כיוונית, שאין דרך לקרוא אחורה את המידע שכתוב בה, אז המידע חסר ערך (חוץ אולי מאשר אימות עתידי שהכרטיס שמשלם עכשיו, הוא זה ששילם בפעם הקודמת. אבל כיוון שכל המקומות האלה מאפשרים לך לבחור תמיד לשלם באיזה כרטיס שבא לך [ואין להם ברירה, תוקף של כרטיסים פוקע ו/או הם נגנבים], שוב זה חסר ערך...)

בכל מקרה זה חסר ערך

נמאס לכם לזכור סיסמאות? לחצו כאן!

איזה מאגר? למיטב ידיעתי המאגר לא נמצא אצל החנות הוירטואלית, אלא המידע נשלח ממנה אל חברת האשראי ושם בודקים אם הפרטים נכונים ומבצעים את הסליקה.
פרטי כרטיס האשראי לעולם לא אמורים להישמר באתר כלשהו, גם לא בחנות וירטואלית. אולי רק 4 הספרות האחרונות של הכרטיס, וזה רק לצורכי אימות...

"אילו שמוכנים לוותר על חירות חיונית כדי להרוויח ביטחון זמני, לא ראויים לא לחירות ולא לביטחון - ומהר מאוד חסרים את שניהם."
-בנג'מין פרנקלין

ציטוט:

במקור נכתב על ידי Carl Sagan "If you wish to make an apple pie from scratch, you must first invent the universe"

על זה בדיוק אנחנו דנים - על מקומות שבהם זה כן קורה. ציינתי מספר דוגמאות (כולן מחו"ל, אבל אני די בטוח שראיתי מקומות ישראליים שאומרים "זכור את פרטי האשראי שלי לעסקאות עתידיות". וואלה שופס אולי?). והסברתי, מדוע, אם קיימות דרישות החוק ש looklook טען, כדרישות-קדם להחזקת מאגר שכזה, הן מגוכחות ומראות על חוסר הבנה של המחוקק...

נמאס לכם לזכור סיסמאות? לחצו כאן!

עד כמה שאני יודע (ואני לא כל כך מעודכן) יש לעמוד לפחות בתקן PCI.

אני מכיר את העיניין הזה של "זכור את פרטי כרטיס האשראי שלי לעסקאות עתידיות", וכן אני חושב ש"וואלה שופס" עושים את זה, אבל לדעתי האתר לא באמת שומר את הפרטים שלו... אני חושב שלאחר הסליקה מחברת האשראי, האתר מקבל חזרה מספר מזהה יחודי לכרטיס האשראי, ואת זה הוא שומר אצלו. כל מה שנותר לאתר לעשות לאחר מכן, זה לאחר האימות של המשתמש, פשוט לשלוח את המספר המזהה היחודי הזה לחברת האשראי, והם סולקים לפיו.
כך האתר לא שומר בפועל את פרטי כרטיס האשראי המלאים, אך עדיין נשמר קשר חד-ערכי לפרטי הכרטיס בין האתר, המשתמש וחברת האשראי, וכל זה בצורה מאובטחת יחסית... זה מה שאני חושב שקורה בפועל, בכל אופן.

"אילו שמוכנים לוותר על חירות חיונית כדי להרוויח ביטחון זמני, לא ראויים לא לחירות ולא לביטחון - ומהר מאוד חסרים את שניהם."
-בנג'מין פרנקלין

ציטוט:

במקור נכתב על ידי Carl Sagan "If you wish to make an apple pie from scratch, you must first invent the universe"

זה נקרא טוקניזציה והזיהוי הוא באמצעות אותו טוקן וארבע הספרות האחרונות, שכן נשמרות באתר.

בדיוק.

"אילו שמוכנים לוותר על חירות חיונית כדי להרוויח ביטחון זמני, לא ראויים לא לחירות ולא לביטחון - ומהר מאוד חסרים את שניהם."
-בנג'מין פרנקלין

ציטוט:

במקור נכתב על ידי Carl Sagan "If you wish to make an apple pie from scratch, you must first invent the universe"

השאלה המתבקשת:

מה קורה כשיש שני לקוחות עם מספר כרטיס אשראי שמסתיים באותן 4 ספרות (סה"כ יש רק 10,000 צירופים - וזאת בהנחה שאין צירופים פסולים בעקבות אלגוריתם שמחייב ספרות מסויימות בהתאם לשאר הספרות בכרטיס, ואאל"ט, יש אלגוריתם כזה), לאותו בעל עסק שסולק ?

וכל זה יוצא מנק' הנחה שה token בר סליקה רק על ידי הגוף שאליו הוקצה ה token, אחרת זה זהה לשמירת פרטי האשראי (למרות שזה די טריוויאלי שלא יעשו כך, אבל לך תדע... )

ושוב אני אציין שבחו"ל בפירוש נשמרים המספרים המלאים (ב PayPal לדוגמה). וגם לדעתי בכל מיני חברות בארץ, שהרבה פעמים מבקשים כאמצעי זיהוי קבוצה של 4 ספרות שאינן האחרונות. איך הן יכולות לאמת על פי זה אם הן לא שומרות את המספר?

נמאס לכם לזכור סיסמאות? לחצו כאן!

המממ... אני לא מבין מה הבעיה - ה-TOKEN מתקבל מחברת האשראי לאחר שהועברו בפעם הראשונה הפרטים המלאים של כרטיס האשראי, ורק ה-TOKEN הזה נשלח בחזרה לחברת האשראי בכל פעם שהלקוח בא לבצע קניה חוזרת.
ה-TOKEN נוצר ע"י פרטים חד-ערכיים אצל חברת האשראי, למשל איזה HASH של USER_ID עם מספר כרטיס האשראי ומריצים על המחרוזת שמתקבלת כמה איטרציות של שחלוף תווים רנדומלי, ואולי אפילו עוד איזה נתון אחד או שניים שיבטיחו HASH שונה לגמרי בעבור כל משתמש.
חברת האשראי מאכסנת את ה-HASH אצלה ואז מחזירים את ה-HASH (שעכשיו הוא TOKEN) לאתר החנות ושם הוא מאוכסן, ושלום על ישראל.
ה-4 ספרות של כרטיס האשראי שנשמרות באתר החנות עצמה, הן סתם לשם אינדיקציה למשתמש הבא לקנות באתר.

"אילו שמוכנים לוותר על חירות חיונית כדי להרוויח ביטחון זמני, לא ראויים לא לחירות ולא לביטחון - ומהר מאוד חסרים את שניהם."
-בנג'מין פרנקלין

ציטוט:

במקור נכתב על ידי Carl Sagan "If you wish to make an apple pie from scratch, you must first invent the universe"

הנקודה היא שבמקרה של פריצה, עדיין אפשרי לגרום לחיובים של הלקוח כאילו היה בידך מספר הכרטיס המקורי...

אבל עזוב, אני בכלל לא דיברתי על כל הטוקנים האלה. אני דיברתי על העובדה שיש אתרים שבהם אני יודע שמאוחסן כל המספר... כמובן, ייתכן שהם עוברים על החוק.

לסיכום, אני די סבור ובטוח שאילו לא היה בישראל החוק המיוחד שהופך את בעיית הרכש הלא מוכח לבעייה של ספק האשראי, ולא של הלקוח, נדיר שהייתי מסכים לקנות משהו באינטרנט. למה אני לא סומך על אבטחת המידע של כמעט אף אתר בישראל... (בייחוד לנוכח בחירת רובם בתשתית מבית Vendor שרקורד האבטחה שלו ברצפה...)

נמאס לכם לזכור סיסמאות? לחצו כאן!

כן, אני סבור שה-Token הוא ייחודי לכל אתר.
אני מכיר שברירת המחדל של כל אתר באשר הוא, היא לפחות טוקן ו-4 ספרות אחרונות (לו רק בשל הצגתן ללקוח).

לגבי שמירת כלל הנתונים, כפי שציינתי, צריך לעמוד בתקן PCI והוא תלוי בהרבה דברים, בין השאר, המחזור השנתי

בעריכה:
4 ספרות שאינן אשראי, הדבר היחיד שאני יכול לחשוב עליו הוא CSV כאמצעי אבטחה נוסף

עריכה2:
יש יותר מ-10000 צירופים, כיוון שהם תלויים אלגוריתמית בכרטיס.
ז"א, יכולים (בתיאורה לפחות) להיות שני כרטיסים שונים לחלוטין עם אותן 4 ספרות אחרונות, אני מניח.
מן הסתם, ה-TOKEN יהיה שונה, אפילו אם הוא תלוי רק במספר הכרטיס המלא

קצת יותר בעייתי ממה שנדמה:

ציטוט:

"הפריצה הצליחה וההאקרים השתמשו בנתונים שבידם כדי להיכנס לחשבונות באתרים אחרים", ציין וולף בבלוג שלו, והצביע גם על איום לפריצת חשבונות PayPal או כרטיסי אשראי. "מתוך מה שהצלחתי להבין בפורום, ההאקרים חדרו לחשבונות פייפל של ישראלים, להגיע לחשבונות בנקים וגם השיגו פרטי כרטיסי אשראי"

http://www.mako.co.il/news-money/te...htm&Partner=rss

אני לא דואג מ-PayPal, הם בטוחים מספיק וגם יחזירו לך את הכסף שאיבדת במידה והפריצה אירעה אצלהם. אני לא מבין אבל איך מחשבון ה-PayPal הפורצים הצליחו לפרוץ גם אל חשבון הבנק - מה הקשר בין שני אלה?

"אילו שמוכנים לוותר על חירות חיונית כדי להרוויח ביטחון זמני, לא ראויים לא לחירות ולא לביטחון - ומהר מאוד חסרים את שניהם."
-בנג'מין פרנקלין

ציטוט:

במקור נכתב על ידי Carl Sagan "If you wish to make an apple pie from scratch, you must first invent the universe"