Для тех, кто еще не читал новости о том, как Burger King в своем мобильном приложении интегрировал нежелательное программное обеспечение AppSee, публикую краткую информацию:
Даже если поверить, что оба утверждения верные, то все равно Burger King своими действиями нарушает стандарт безопасности отправку видео файла на AppSee: нельзя передавать с номером карты (PAN) дату истечения и имя владельца. Про телефон я вообще молчу. Это прямое нарушение PCI DSS в частности и здравого смысла вообще. Обычный MITM в публичном WiFi организовать утечку ДДК, а номер телефона — вообще легчайший способ получить дубликат sim карты в любом отделении с помощью имени владельца и базовых навыков графического редактора.
В заключение хочу добавить, что такие стандарты как GDPR или 152-ФЗ, к которым апеллируют, действуют на определенных геополитических областях, в то время как PCI DSS — это международный стандарт платежных систем и нарушать его нельзя нигде.
- AppSee — это, malware-сервис, который можно интегрировать в мобильное приложение и получить видеозапись экрана для какой-то там аналитики
- Как видно из перехваченного видео — данные передаются без какой-либо обработки, а уже в самом AppSee видео обрабатывается и данные держателей карт (ДДК) закрашиваются черными квадратами, как они утверждают
- Представители Burger King заняли позицию, что они ничего не нарушают, так как данные от AppSee им уже приходят после обработки и они не видят в них ДДК, как они утверждают
Даже если поверить, что оба утверждения верные, то все равно Burger King своими действиями нарушает стандарт безопасности отправку видео файла на AppSee: нельзя передавать с номером карты (PAN) дату истечения и имя владельца. Про телефон я вообще молчу. Это прямое нарушение PCI DSS в частности и здравого смысла вообще. Обычный MITM в публичном WiFi организовать утечку ДДК, а номер телефона — вообще легчайший способ получить дубликат sim карты в любом отделении с помощью имени владельца и базовых навыков графического редактора.
Сама компания Burger King прошла проверку стандартам, а значит попадает под все карательные меры, а именно:
- Крупные денежные штрафы
- Повторные аудиты QSA
- Понижение уровня сертификации
В заключение хочу добавить, что такие стандарты как GDPR или 152-ФЗ, к которым апеллируют, действуют на определенных геополитических областях, в то время как PCI DSS — это международный стандарт платежных систем и нарушать его нельзя нигде.
Комментариев нет:
Отправить комментарий