Открыть список
Как стать автором
Обновить

Комментарии 12

Пару раз я видел кассовые чеки, где были указаны также первые 4 цифры. Посмотрев на банковские карты своей семьи, я обнаружил у них один и тот же префикс.

Это тип платёжной системы. Виза начинается на «4», мастеркард — 5, мир — 2. Остальные 5 (?) цифр обозначают организацию, кажется называется это банковским идентификатором. Если у вас в семье у всех сбер — то возможно, что эти цифры будут одинаковы.
Остальные цифры — это уже номер счёта. Кроме последней — проверочное число или контрольная цифра.
Вообще, чем меньше светишь свой номер — тем лучше. Но выходит, что самая секретная часть — это цифры с седьмой по предпоследнюю.
номер счета у карты может быть любым, насколько я нопнимаю.
номер счета у карты может быть любым, насколько я нопнимаю.

так точно

Посмотрев на банковские карты своей семьи, я обнаружил у них один и тот же префикс

Первые 6-8 цифр в номере карты это bin (идентификатор [филиала] банка). Последняя — контрольная сумма. Такчто 'секретных' из первой и последней четверки всего три символа.
Но, скажите, почему вы в этом видите уязвимость?
В смысле почему канал передачи информации по sms вы считаете более надёжным, чем по https ?

Я не считаю, что передача информации по SMS более надёжна, чем https.

Мой point был такой. Предположим, что злоумышленник получил доступ к аккаунту жертвы на сайте, но не имеет её второго фактора аутентификации — мобильного телефона, потому не может просто переслать себе деньги. Он решает оплатить что-то с помощью карты. Для этой задачи раньше ему нужно было подобрать больше десятичных цифр, чем после изменений в алгоритме. (Особенно с учётом того, что последние цифры являются полупубличной информацией, так что в теории их можно где-то найти.) Комбинаторная сложность в конкретном сценарии уменьшилась.
Возможно я буду не прав, но это ведь не уязвимость. Это баг, который видимо был пройден мимо QA, если они были на тот момент) я то ожидал сейчас статьи с инъекциями, подменой хешей и прочей стори)
Да тут даже не баг, а скорее просто понижения уровня безопасности.
Это как сравнивать уровни безопасности 4-х и 6-ти пиновых паролей.
Как бы 6 надёжнее чем 4, но и 4 хватает, тем более что обычно не более 3-х попыток на перебор.
Можно спокойно разглашать свой номер карты.
Для перечислений на нее, к примеру.
Срок и CVV — то уже личное.

нельзя. Для того, чтобы не светить реквизиты карты — уже придумывают всякие ссылки для мгновенной оплаты. И это правильно. Либо СБП — по номеру телефона.

CVV далеко не все ресурсы спрашивают, + у крупных «доверенных» есть возможность ещё и проводить платежи без подтверждения по смс, а подобрать срок имея полный номер — дело нескольких минут даже вручную.

Такие платежи и откатываются в бесспорном порядке. Т.е. вам ничего не надо доказывать. Просто если у мерча нет cvv или 3d secure, то деньги возвращаются вам.

Уязвимость, которой невозможно воспользоваться — это не уязвимость

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.