Pour ceux qui n'ont pas lu les nouvelles sur la façon dont Burger King a intégré le logiciel AppSee indésirable dans son application mobile, je publie une brève information:
- AppSee est un service de malware qui peut être intégré dans une application mobile et obtenir une capture d'écran pour une sorte d'analyse;
- Comme on peut le voir sur la vidéo interceptée, les données sont transmises sans aucun traitement, et déjà dans l'AppSee, la vidéo est traitée et les données des titulaires de carte (DDC) sont remplies de carrés noirs, comme on dit;
- Les représentants de Burger King ont soutenu qu'ils n'avaient rien violé, car les données d'AppSee leur parviennent déjà après le traitement et ils ne voient pas le DDK en eux, comme ils disent.
Même si vous pensez que les deux déclarations sont vraies, Burger King viole de toute façon
la norme de sécurité en envoyant un fichier vidéo à AppSee avec ses actions: vous ne pouvez pas transférer la date d'expiration et le nom du propriétaire avec un numéro de carte (PAN). Je suis généralement silencieux sur le téléphone. Il s'agit d'une violation directe de PCI DSS en particulier et du bon sens en général. Le MITM ordinaire en WiFi public pour organiser une fuite DDC, et un numéro de téléphone est généralement le moyen le plus simple d'obtenir un duplicata d'une carte SIM dans n'importe quel service en utilisant le nom du propriétaire et les compétences de base d'un éditeur graphique.
Burger King lui-même a
passé le test des normes , ce qui signifie qu'il tombe sous toutes les mesures punitives, à savoir:
- Grosses amendes
- Ré-audits QSA
- Certification inférieure
En conclusion, je veux ajouter que des normes telles que le RGPD ou 152-, auxquelles elles font appel, opèrent dans certaines zones géopolitiques, tandis que PCI DSS est une norme internationale pour les systèmes de paiement et ne peut être violée nulle part.