Код известен эмитенту и напечатан на оборотной стороне карты. Это должно было означать, что плательщик держит карту в руках в момент совершения операции. Подобно ПИН-коду, код CVC нигде не хранится и передается по каналу связи только в момент проведения авторизации.
Мера позволила, с одной стороны, отсечь хакеров с генераторами номеров, с другой – улучшить положение Интернет-магазинов, потому что появились новые инструменты защиты. Например, теперь если банк-эмитент проверил CVC и подтвердил совершение операции, то опротестовать ее как мошенническую стало сложнее.
С первого взгляда, должна была остаться одна точка компрометации – сам клиент. Но недавний случай с атакой на сайт РЖД показал, что не все так радужно. В 2014 году несколько десятков тысяч номеров карт утекли через уязвимость протокола SSL – Heartbleed.
Атакам подвергались и целые процессинговые центры, такие как «Хронопей». В конце 2010 года был взломан сайт компании, в открытый доступ попали номера карт, прошедших через подключенные к нему торговые точки. Говорят, что была взломана база данных, но пресс-служба компании заявила, что был подменен домен. Это похоже на правду, так как в дампах были и коды CVC, которые, как мы знаем, не хранятся.
После этого случая «Хронопей» растеряла всех уважаемых клиентов и чуть не стала банкротом.
This entry passed through the Full-Text RSS service - if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.
Комментариев нет:
Отправить комментарий