Für diejenigen, die die Nachrichten darüber, wie Burger King die unerwünschte AppSee-Software in seine mobile Anwendung integriert hat, nicht gelesen haben, veröffentliche ich eine kurze Information:
- AppSee ist ein Malware-Dienst, der in eine mobile Anwendung integriert werden kann und einen Screenshot für eine Art von Analyse erhält.
- Wie aus dem abgefangenen Video ersichtlich ist, werden die Daten ohne Verarbeitung übertragen, und bereits im AppSee selbst wird das Video verarbeitet, und die Daten der Karteninhaber (DDC) werden wie gesagt mit schwarzen Quadraten übermalt.
- Vertreter von Burger King vertraten die Auffassung, dass sie nichts verletzt haben, da die Daten von AppSee bereits nach der Verarbeitung bei ihnen eingehen und sie das DDK nicht in ihnen sehen, wie sie sagen.
Selbst wenn Sie glauben, dass beide Aussagen wahr sind, verstößt Burger King dennoch gegen
den Sicherheitsstandard, indem er eine Videodatei mit seinen Aktionen an AppSee sendet: Sie können das Ablaufdatum und den Namen des Eigentümers nicht mit einer Kartennummer (PAN) übertragen. Ich schweige im Allgemeinen über das Telefon. Dies ist eine direkte Verletzung von PCI DSS im Besonderen und des gesunden Menschenverstandes im Allgemeinen. Gewöhnliches MITM in öffentlichem WLAN, um ein DDC-Leck zu organisieren, und eine Telefonnummer sind im Allgemeinen der einfachste Weg, um ein Duplikat einer SIM-Karte in einer Abteilung unter Verwendung des Besitzernamens und der Grundkenntnisse eines Grafikeditors zu erhalten.
Burger King selbst hat
den Standardtest bestanden , was bedeutet, dass er unter alle Strafmaßnahmen fällt, nämlich:
- Große Geldstrafen
- QSA-Audits
- Niedrigere Zertifizierung
Abschließend möchte ich hinzufügen, dass Standards wie die DSGVO oder 152-, an die sie sich wenden, in bestimmten geopolitischen Bereichen gelten, während PCI DSS ein internationaler Standard für Zahlungssysteme ist und nirgendwo verletzt werden kann.