بالنسبة لأولئك الذين لم يقرأوا الأخبار حول كيفية قيام Burger King بدمج برنامج AppSee غير المرغوب فيه في تطبيقه للهاتف المحمول ، أقوم بنشر معلومات موجزة:
- AppSee هي خدمة برامج ضارة يمكن دمجها في تطبيق جوال والحصول على لقطة شاشة لبعض أنواع التحليلات ؛
- كما يتبين من الفيديو الذي تم اعتراضه ، يتم إرسال البيانات دون أي معالجة ، وبالفعل في AppSee يتم معالجة الفيديو وتمتلئ بيانات حاملي البطاقة (DDC) بمربعات سوداء ، كما يقولون ؛
- اتخذ ممثلو برجر كنج موقفًا مفاده أنهم لم ينتهكوا أي شيء ، لأن البيانات من AppSee تأتي إليهم بالفعل بعد المعالجة ولا يرون DDK فيها ، كما يقولون.
حتى إذا كنت تعتقد أن كلا العبارتين صحيحتين ، فإن Burger King ينتهك
على أي حال
معيار الأمان عن طريق إرسال ملف فيديو إلى AppSee مع أفعاله: لا يمكنك نقل تاريخ انتهاء الصلاحية واسم المالك برقم البطاقة (PAN). أنا صامت بشكل عام بشأن الهاتف. يعد هذا انتهاكًا مباشرًا لـ PCI DSS بشكل خاص ، والحس السليم بشكل عام. يعد MITM العادي في شبكة WiFi العامة لتنظيم تسرب DDC ، ورقم الهاتف بشكل عام هو أسهل طريقة للحصول على نسخة طبق الأصل من بطاقة sim في أي قسم باستخدام اسم المالك والمهارات الأساسية لمحرر الرسوم البيانية.
لقد
اجتاز برجر كنج نفسه
اختبار المعايير ، مما يعني أنه يخضع لجميع التدابير العقابية ، وهي:
- غرامات كبيرة
- إعادة تدقيق QSA
- شهادة أقل
في الختام ، أود أن أضيف أن مثل هذه المعايير مثل اللائحة العامة لحماية البيانات أو 152- ، التي تلجأ إليها ، تعمل في بعض المناطق الجيوسياسية ، في حين أن PCI DSS هو معيار دولي لأنظمة الدفع ولا يمكن انتهاكه في أي مكان.