Para aquellos que no han leído las noticias sobre cómo Burger King integró el software AppSee no deseado en su aplicación móvil, publico una breve información:
- AppSee es un servicio de malware que se puede integrar en una aplicación móvil y obtener una captura de pantalla para algún tipo de análisis;
- Como se puede ver en el video interceptado: los datos se transmiten sin ningún procesamiento, y ya en el AppSee se procesa el video y los datos de los titulares de las tarjetas (DDC) se pintan con cuadrados negros, como dicen;
- Los representantes de Burger King tomaron la posición de que no violaron nada, ya que los datos de AppSee ya les llegan después del procesamiento y no ven el DDK en ellos, como dicen.
Incluso si cree que ambas declaraciones son ciertas, Burger King viola
el estándar de seguridad al enviar un archivo de video a AppSee con sus acciones: no puede transferir la fecha de vencimiento y el nombre del propietario con un número de tarjeta (PAN). Generalmente estoy en silencio sobre el teléfono. Esta es una violación directa de PCI DSS en particular, y de sentido común en general. MITM ordinario en WiFi público para organizar una fuga de DDC, y un número de teléfono es generalmente la forma más fácil de obtener un duplicado de una tarjeta SIM en cualquier departamento utilizando el nombre del propietario y las habilidades básicas de un editor gráfico.
Burger King ha
pasado la prueba de estándares , lo que significa que cae bajo todas las medidas punitivas, a saber:
- Grandes multas
- QSA vuelve a auditar
- Menor certificación
En conclusión, quiero agregar que estándares como GDPR o 152-, a los que apelan, operan en ciertas áreas geopolíticas, mientras que PCI DSS es un estándar internacional para sistemas de pago y no puede ser violado en ningún lado.