Um grupo de pesquisadores descobriu como encontrar informações de cartão de crédito consultando e-commerces. O processo, que foi delineado IEEE Security & Privacy, envolve adivinhação e testes de centenas de permutações de datas de validade e números de segurança em uma diversidade de sites.

Titulares de MasterCard não são suscetíveis a esse ataque porque seu sistema bloqueia após 100 tentativas. Os de cartões Visa já não têm tanta sorte, então são suscetíveis a esse problema.

Os pesquisadores Mohammed Aamir Ali, Budi Arief, Martin Emms e Aad Van Moorsel acreditam que a ferramenta também pode ser usada para adivinhar códigos postais e dados de endereço ou simplesmente correlacionar dados de localização com bancos emissores ou usar skimmers para descobrir onde diferentes cartões são usados.

Para evitar o ataque, tanto a padronização ou centralização pode ser uma solução (algumas redes de pagamento de cartão já fornecem isso). A padronização implicaria que todos os comerciantes precisariam oferecer a mesma interface de pagamento, ou seja, o mesmo número de campos. Em seguida, o ataque não escala mais. A centralização pode ser conseguida através de gateways de pagamento que possuem uma visão completa sobre todas as tentativas de pagamento associadas à sua rede.

Nem a padronização nem a centralização se encaixam naturalmente na flexibilidade e na liberdade de escolha associadas à internet, mas fornecerão a proteção necessária. Cabe às várias partes interessadas determinar o caso e a oportunidade de tais soluções.

Não deixe de entrar no grupo de discussão do StartSe no Facebook e de inscrever-se na nossa newsletter para receber o melhor de nosso conteúdo!

[php snippet=5]