Для тех, кто еще не читал новость о том, как Burger King интегрировал нежелательное ПО AppSee в свое мобильное приложение, вот краткая информация:
- AppSee — вредоносный сервис, который можно интегрировать в мобильное приложение и получать видеозапись экрана для какой-то аналитики;
- Как видно из перехваченного видео, данные передаются без какой-либо обработки, а в самом AppSee видео обрабатывается и данные о держателях карт (DDC), как они утверждают, закрашиваются черными квадратами;
- Представители Burger King заняли позицию, что они ничего не нарушают, поскольку уже получают данные от AppSee после обработки и не видят в них DDC, как они утверждают.
стандарт безопасности отправка видеофайла в AppSee: нельзя отправить дату окончания срока действия и имя владельца вместе с номером карты (PAN).
Про телефон вообще молчу.
Это прямое нарушение PCI DSS в частности и здравого смысла в целом.
Обычный MITM в публичном WiFi — организовать утечку DDC, а номер телефона — это вообще самый простой способ получить дубликат сим-карты в любом филиале, используя имя владельца и базовые навыки графического редактора.
сам Бургер Кинг прошел стандартный тест , а значит, подпадает под все карательные меры, а именно:
- Крупные денежные штрафы
- Повторные аудиты QSA
- Понижение уровня сертификации
Теги: #pci dss #burger king #appsee #информационная безопасность
-
Лето В Нижнем Тагиле.
19 Oct, 24 -
Летняя Мобилизация Gearbest
19 Oct, 24 -
Icq И Ssl
19 Oct, 24
