Küsimus:
Kuidas saab Paypal teada, et minu kaarti kasutatakse mõnel teisel kontol?
TheAsh
2019-07-29 06:29:42 UTC
view on stackexchange narkive permalink

Mul on krediitkaart salvestatud minu peamisele Paypal'i kontole. Pika jutu lühidaks tegemiseks pidin tegema teise Paypali konto, mis ei oleks minu algsega ühendatud.

Kasutasin teist arvutit, mida polnud kunagi minu algsesse sisse logitud. Kui proovisin oma krediitkaarti kontole registreerida, ütles Paypal mulle, et ma ei saa seda registreerida, nagu öeldi

see kaart on juba lingitud teise Paypali kontoga.

Kuidas nad seda teada saavad? Kas minu krediitkaarti ei tohiks räsi hoida ainult minu konto all? Kuidas ja miks Paypal hoiab kõiki registreeritud kaarte ristviidete jaoks ühes suures failis?

Kommentaarid pole pikendatud arutelu jaoks;see vestlus on [vestlusesse teisaldatud] (https://chat.stackexchange.com/rooms/96934/discussion-on-question-by-theash-how-can-paypal-know-my-card-is-being-kasutatud-in-an).
Viis vastused:
Conor Mancone
2019-07-29 08:42:50 UTC
view on stackexchange narkive permalink

On mitu põhjust, miks Paypal (või üldisemalt mis tahes makseteenus) saab teada, kas olete oma kaarti kasutanud rohkem kui ühes kohas.

Teie krediitkaarti jälgitakse absoluutselt kõikjal, kus võimalik

Kas minu krediitkaarti ei peaks ainult minu konto all räsi hoidma?

Kui teie kaarti hoitakse räsitud, saab seda hõlpsasti võrrelda kontode vahel . Räsimised on deterministlikud, nii et fikseeritud räsimisalgoritmi korral annab antud krediitkaart alati sama räsi. Seega, kui nad hoiustasid räsi, saaksid nad kontode vahel hõlpsasti võrrelda ja teha kindlaks, kas kaart oli juba mujal salvestatud. See võib olla kasulik, kuna antud juhul kasutatakse seda pettuste vältimiseks (selle tagajärjeks on see, et kui sama kaart lisatakse mitmele kontole, on see tõenäoliselt tingitud pettusest). Kui teil on krediitkaardi "turvaline" räsi, pole põhjust mitte seda eri kontodel kontrollida. Paypal kindlasti saab ja suudab.

Kuid see võimalus ei piirdu ainult Paypaliga ja võib olla hõlpsasti kättesaadav ka palju väiksematele kaupmeestele. Näiteks Stripe (tavaline PCI-ga ühilduv makseviis) puhul antakse kaupmehele iga Stripe'i salvestatud krediitkaardinumbri jaoks kordumatu tunnus. Kaupmees ei hoia kaardi numbrit (ega näe seda isegi), kuid siiski saab antud räsi võrrelda teiste nende süsteemides kasutatud kaardi räsidega. Seda saab (ja saab) hõlpsasti kasutada vähemaltruistlikul eesmärgil jälgida kasutaja ostuajalugu mitmel kontol ja anonüümsetel tehingutel, säilitades samal ajal PCI-vastavus.

Et oleks selge, jälgitakse teie krediitkaarti absoluutselt igal pool nii palju inimesi, kui vähegi võimalik on, isegi kui nad ise teie krediitkaardinumbrit ei tea.

Paypal hoiab teie tegelikku krediitkaardinumbrit - mitte ainult räsi

Väiksemad kaupmehed saavad ja peaksid veenduma ning mitte kunagi tegelikke kaardiandmeid salvestama, edastama ega isegi vaatama. Kuid pole mingit nõuet, mis keelaks igal kaupmehel soovi korral tegelikku kaardinumbrit alles jätta. Üldiselt peab iga kaupmees, kes soovib kaardinumbreid hoida failis ja jääda PCI-le vastavaks, (teoreetiliselt) läbima rangema valideerimise, turvaauditi ja maksma tegelikult palju raha tasudena. Krediitkaardinumbrite failis hoidmise ja PCI-ühilduvuse säilitamise suurenenud kulud ja vastutus on nii suured, et ükski mõõdukalt hästi juhitud väike- ja keskmise suurusega ettevõte ei püüa seda kunagi proovida.

Kuid suurettevõtted saavad ja otsustavad teisiti . Reaalsus on see, et keegi peab kaardinumbrid kuhugi salvestama, et teie kaardilt saaks arvet esitada. Suuremad krediitkaardiprotsessorid (mis Paypal kindlasti on) salvestavad kindlasti kogu kaardi numbri. Nad peaksid numbrid salvestama tugeva krüpteerimise ja turvaliste võtmete / juurdepääsu kontrollimise protseduuride abil.

Mis puudutab üksikasju selle kohta, kuidas nad tegelikult tuvastavad, et krediitkaardinumbrit kasutatakse kaks korda, siis lõpuks saab sellele vastata ainult Paypal. Neil võib olla meetod krüptitud kaardinumbrite otseseks võrdlemiseks, kuid suurema tõenäosusega nad salvestavad ka kaardinumbrite räsi ja võrdlevad neid otse ( h / t Jory Geerts). Mõlemal juhul hoiavad nad siiski teie kaardinumbrit failis ja saavad kaardinumbreid kontodega võrrelda.

Pange tähele, et see ei tähenda, et need hoiaksid kõiki registreeritud kaarte ristviidetena ühes suures failis. Nende turvalise kaardimälu infrastruktuur on kindlasti palju keerulisem kui see. Kuid neil on ilmselgelt veenev vajadus kaartide võrdlemiseks kontode vahel ja oma infrastruktuuri seadistamine nii, et nad saaksid teie kaarte turvaliselt hoida ja kontrollida ka duplikaate kontode vahel. Nõustun lingitud kommentaariga: arvan, et nad arvutavad ka krediitkaardi numbri turvalist räsi ja kasutavad seda hõlpsaks võrdlemiseks.

"Olen kindel, et nad lihtsalt võrdlevad krediitkaardinumbreid otse."Nii et kui keegi neid häkkib, oleme kõik lollakad?
@TheAsh jah.Sama, kui keegi Visat häkkib.Kuigi tegelikkuses peaks PCI-vastavus sellest aitama.See pole jällegi ainult Paypal: tuntud mänguettevõte, mille heaks töötasin, salvestab kõigi nende populaarsete MMO tellijate krediitkaardinumbrid - kuid jällegi täielikult PCI-ga kooskõlas.
@Denis vähemalt tegid seda PCI-ga ühilduvalt.Tegin palgatööd paljudes e-kaubandusega seotud väikeettevõtetes ja teadsin vähemalt ühte neist, kes tegelikult hoidsid kontoriarvutites kaardiandmete lihttekstina koopiaid.Nad tegelesid vähemalt B2B-kaubandusega, nii et tekitasid ainult ettevõtjatele ja mitte tarbijatele probleeme ...
"Olen kindel, et nad lihtsalt võrdlevad krediitkaardinumbreid otse."Minu teada nõuab PCI-DSS selliseid asju nagu krüptimine.Kõigi dešifreerimine on päris kallis (protsessori aja järgi).Lisaks asetab see "kaardinumbrite võrdlusteenuse" kõrgemasse "ulatusse" (see tähendab "palju reegleid") vs midagi, mis lihtsalt võrdleb mõnda räsi, kuid ei puuduta kunagi tegelikku kaardi numbrit.Nii et minu arvates on räside võrdlemine palju lihtsam kui tegelike arvude võrdlemine.
@JoryGeerts Hea mõte.Ma juhtisin lihtsalt tähelepanu asjaolule, et neil on tegelikult krediitkaardi üksikasjad käes, selle asemel, et proovida teha kindlaid avaldusi selle kohta, kuidas nad võiksid võrdlust tegelikult teha.Selle tulemusena olen seda jaotist värskendanud.
Varem töötasin välja elamiseks sularahaautomaatide tarkvara ja see pole nii lihtne, kui selle kõlama panete.Esiteks olen kindel, et "krediitkaardi täielikke andmeid" ei salvestata, kuna kaardi turvakoodi (või täieliku triibu, kuid see pole Paypalil vähem asjakohane) salvestamine on keelatud.Samuti kasutasime krüptimiseks spetsiaalset riistvara krüptomoodulit, kus ainult kahel turvatöötajal oli pool võtmest ja sellel pole käsku "dekrüpteerimine" (lihtsalt käsud andmete krüptimiseks teise võtme all, mis peab olema eelnevalt käsitsi sisestatud)
"Paypal hoiab teie krediitkaardi tegelikke andmeid failis".Kahjuks ei vastanud te oma viimase redigeerimisega küsimusele.Muidugi hoiavad nad teavet failis (muidu ei saaks ma midagi osta), minu küsimus on, kas neil on suur krüptimata megafail, kus on näidatud kõik lingitud kontod ja krediitkaardinumbrid?Või salvestavad nad lihtsalt kaarditeabe iga konto alla ja ei võrdle kunagi teavet, nagu ma arvasin, et peakski?
@TheAsh teile veel üks värskendus.Neil pole kindlasti suurt krüptimata megafaili.
Töötasin varem ettevõttes, kus hoiti krediitkaardinumbreid.Need krüpteeriti HSM-i kaudu, nii et keegi ei saaks võrguühenduseta dešifreerimiseks võtmeid kätte saada ning võrguliiklus HSM-i oli tugevalt piiratud ja jälgitud.
@ConorMancone ja selle muudatuse tõttu olen teie vastuse aktsepteerinud.
@MatthieuM.Nii nagu peab olema!Ja ometi on krediitkaardivargused endiselt suur äri.Liiga palju on inimesi, kes ei tee seda õigesti (kuigi pole ka tähtis, kui turvaline on teie krediitkaardi salvestamine, kui ründaja süstib end protsessi käigus kuhugi mujale, mida on juhtunud lugematu arv kordi. Https: //www.theregister.co.uk / 2018/09/12 / feedify_magecart_javascript_library_hacked /
@TheAsh Raudselt tuli see just täna välja: https://gizmodo.com/a-hacker-stole-capital-one-data-on-106-million-customer-1836806812.Mis tähendab, et tõepoolest, kui finantsasutused ise on häkkinud, lähevad tarbijad sassi.
Kas ma teen matemaatikat valesti?Krediitkaartidelt otsitav hash on väärtusetu.~ 4 numbrit emitendi ID-d jätab mis tahes tegeliku juhuslikkuse 12 numbrit;triljoni räsi otsimine on tühine.Selle vältimiseks vajate tõeliselt tugevat soola ja selline sool muudab räsi järgi otsimise ebapraktiliseks.
@Yakk krediitkaartidel on entroopia veelgi väiksem.Esimene number on ettevõte, viimane number on kontrollnumber ja kaardi numbril on muid väikeseid piiranguid.Paljudel räsimisalgoritmidel saate kulutegurit suurendada, kuid ma olen uudishimulik, kuidas CC number ** oleks turvaliselt räsitud - see on isegi halvem kui paroolid.Ma arvan, et räsi kasutavad mõned suured ettevõtted ja seetõttu eeldan, et selleks on olemas "õige" viis, kuid kumbki neist väidetest võib olla vale.
@ConorMancone * nod * isegi megabaidise soolaga, mis blokeerib vikerkaarelauad, kuid ei muuda rünnaku ja kasutamise suhet palju paremaks.
@Yakk ja seetõttu peaksite tavaliselt oma krediitkaardinumbrit käsitlema kui tõhusat avalikku teavet.Kuigi CVC peaks olema mõnevõrra privaatne, on kõik teie kaardi esiküljele trükitud lihtsalt kopeerimiseks.
@ConorMancone OP eesmärkidel võib andmebaas olla võrreldav "megafailiga", kuid loomulikult ei ole see lihtsalt tekst.
@Yakk Teie kommentaar on just minu küsimuse eesmärk.
Lie Ryan
2019-07-29 08:46:53 UTC
view on stackexchange narkive permalink

PayPal on maksetöötleja, mitte kaupmees, nad peavad maksete töötlemisel edastama kaardi numbri teie pangale (või kaardi väljaandjale), nii et nad peavad teie krediitkaardi dekrüpteeritaval viisil säilitama tagasi kaardinumbrite juurde. PCI-DSS-i järgimiseks peavad nad selle teabe oma serverites krüpteerima ja järgima kõiki karmimaid PCI-DSS-i nõudeid, kuid nad ei saa teabe salvestamiseks kasutada makse töötlemiseks ühesuunalist räsi.

Machavity
2019-07-30 03:38:51 UTC
view on stackexchange narkive permalink

Kaardinumbrid on pikka aega olnud osa PayPali riskihindamise protsessist. Me kasutasime varem nende veebisaiti Payments Pro ja mõnikord tekkis probleem, kus keegi pani meie kaardinumbri meie kassasse ja PayPal lükkas selle tagasi, kuna

  1. see oli seotud PayPaliga konto, kus on pettusteatis (mõnikord on PayPal seda sisemiselt hinnanud)
  2. Kaarti oli varem nähtud halva näitleja tegevuses

See kõik oli enne PCI-le vastavust. # 1 oli problemaatiline, sest see nõudis kliendilt sõna otseses mõttes helistamist PayPalile ja probleemi otsene lahendamine (mõnikord aastaid suletud kontodel). See pole PayPali uus tegevus.

PCI ei pruugi seda keelata. Kaardinumbreid saab salvestada tervikuna, nagu ka aegumiskuupäevi. Ainult CVV2 numbrite salvestamine on keelatud. Kui salvestate kaardiandmeid niimoodi, peate vastama teatud turvakriteeriumidele ( vaadake selle küsimuse kohta üksikasju)

mckenzm
2019-07-30 10:40:15 UTC
view on stackexchange narkive permalink

Neil on reegel, et kaarti tohib linkida ainult ühe korra. Pilt, mida nad sondeerimiseks kasutavad, ei pruugi olla tavaline tekst ja see võib olla enne räsimist "pakitud" (COMP-3 või BCD), kuid kokkupõrgete vältimiseks peaks see olema piisavalt entroopne (kõrge kardinaalsusega).

See ei ole lihtsalt number, vaid ka aegumiskuupäev ja võib-olla ka CV. Kõik krediitkaardinumbrid algavad neljakohalise BIN-koodiga ja lõpevad kontrollnumbriga, mis põhineb Luhni algoritmil. Need on tingimata ringlussevõetud, kuna numbreid on veel piiratud arv, eriti kui Visa ja MasterCard pangad võivad toote alamteabe jaoks kasutada järgmiseid kahte või kolme numbrit. Ma tean ühte panka, kes kasutas esimesi 10 numbrit teatud töötajatele töötajatele välja antud kaartide jaoks. Nii et varem või hiljem saab keegi teine ​​teie numbri, kui saate teise numbri.

Olemasoleva väärtuse indeksi uurimine on väga lihtne.

Clockwork-Muse
2019-07-30 00:17:23 UTC
view on stackexchange narkive permalink

Teistes vastustes eeldatakse, et Paypal salvestab kõik üksikasjad ja võrdluse tegemiseks räsi.

See on tõenäoliselt vale. Kaasaegses krediitkaarditurvalisuses, eriti e-kaubanduse tehingute korral, vahetatakse krediitkaardikontode numbrid märkide jaoks, piirdudes sageli ühe kaupmehega:

Visa card tokenization

( seletavast dokumendist, mis on saadaval Visa saidil).

Kaupmees saab tõenäoliselt iga kaardi kohta pidevalt märgi. Samuti saab tagastada täiendavaid üksikasju - näiteks kasutaja kontonumbri. Sõltuvalt märgistamise käsitsemisest on võimalik, et teised kaupmehed ei saa neid märke kasutada, eirates räsimise või krüptimise vajadust.

Sa mõistad küsimust valesti.See ei tähenda märgistamist
-1
1. etapis sisestab klient oma PAN ** ja Visa salvestab selle **.Mis on see, mida PayPal OP-ga teeb.Veelgi enam, kui nad väljastaksid iga kord sama PAN-i jaoks sama märgi, oleks PAN-i määramiseks märk palju lihtsam muuta.Pole mingit garantiid, et ka PAN on isegi osa märkide loomise protsessist.Veelgi olulisem on see, et PayPal on seda teinud juba üle kümne aasta
@Machavity - protsess oleks - andke PAN PayPalile, PayPal edastab selle Visa-le, Visa tagastab märgi (või mõne muu identifikaatori), PayPal salvestab / kasutab märki.See piirab PayPali PCI-vastavusmuresid.Peamine põhjus PayPali kasutamiseks on see, et veebisaidid ei peaks ise Visaaga integreerumise pärast muretsema.Ja selle aluseks olev tehnoloogia oleks kindlasti aja jooksul muutunud."Pealegi, kui nad väljastaksid iga kord sama PAN-i jaoks sama märgise, oleks PAN-i määramiseks märk palju lihtsam muuta." ... mõtlete nagu PAN-i räsimist?
@Clockwork-Muse Pidage meeles, et [PayPal ei ole kaupmees] (https://security.stackexchange.com/a/214247/88532).Tegelikult pakuvad nad kaupmeestele makseteenuseid.Kui kaupmees saab PayPali kaudu märgi kätte, peab PayPal selle loa genereerima ja maksete töötlemiseks tegeliku kaardi, mitte loa alusel peab käsil olema kaardi algsed andmed.
Neil oleks võimalik kasutada krediitkaardipakkujaid nende nimel töö tegemiseks, kuid seda ei nõuta;nad peavad lihtsalt maksma kõrgemaid tasusid ja läbima rangemad turvakontrollid privileegi eest krediitkaarte säilitada.Isegi mõned suuremad kaupmehed teevad seda ja ma oleksin üllatunud, kui maksetöötleja ise makset ei töötleks: kus muidu on nende ärimudel?Mis hoiab Visail pakkumast samu teenuseid otse Paypali klientidele ja lõpetades nende tegevuse?
@jpaugh - kuna nad tegelevad rohkem kui lihtsalt Visa-ga, haldavad nad mitut tüüpi kaarte, salvestatud väärtust ja muud.Kui ma programmeerin veebirakendust, ei taha ma mitme protsessori / lüüsi käsitsemist - ma tahan lihtsalt ühte laialdaselt tunnustatud ja sellega valmis teha.
Ka Mastercard teeb midagi sarnast: https://masterpass.com/en-us.html
@Clockwork-Muse See on hea punkt;kuid see on ka täiendav põhjus, et neil on ärimudeli saamiseks vaja krediitkaarte säilitada: nad ei saa eeldada, et Visa ja Master Card pakuvad oma teenuseid samal viisil;nii et nad peaksid kaupmeestele järjepideva kogemuse pakkumiseks ise (nii-öelda) oma "jalatöö" tegema.
@jpaugh - sellel pole mõtet.Kui andmekogumid on nii suured kui neil on, pole voog ja andmebaas emitendi kohta tõenäoline.Adapterid ja kaardistamisklassid on peaaegu kindlad, _ isegi kui nad salvestavad täisarvu_.Lisaks, kui saate PayPalis kasutada selliseid asju nagu pangakontod või "krediidi tagasimaksmine", on lihtsaim viis järjepideva kaupmehekogemuse saamiseks lihtsalt kaupmehe tehingu ID tagastamine "edukaga".Puuduvad kaardi andmed, ei midagi (mitmel põhjusel tagastavad nad tõenäoliselt siiski mõned üksikasjad).PayPal varjab kaupmeeste emitentide vahelisi erinevusi.
@Clockwork-Muse Siinkohal arvavad ilmselt kumbki meist;kuid * järjepideva * tehingu ID tagastamiseks eeldan, et nad peaksid kõigepealt selle tegema, kuna Visa ja MasterCard ei ole kohustatud tagastama sama tüüpi numbrit ega pakkuma PayPali klientidele järjepidevat kogemust.Viisal võib olla kuupäeva ja dollari summa räsi tehingu ID, samas kui MC võib tagastada GUID-i.Veelgi enam, PayPalil võib tegelikult olla SLA, mis kohustab Visa ja MasterCard samamoodi esitama tehingu ID-sid (ja märke või mida iganes muud).


See küsimus ja vastus tõlgiti automaatselt inglise keelest.Algne sisu on saadaval stackexchange-is, mida täname cc by-sa 4.0-litsentsi eest, mille all seda levitatakse.
Loading...