Bagi mereka yang belum membaca berita tentang bagaimana Burger King mengintegrasikan perangkat lunak AppSee yang tidak diinginkan dalam aplikasi mobile-nya, saya menerbitkan informasi singkat:
- AppSee adalah layanan malware yang dapat diintegrasikan ke dalam aplikasi seluler dan mendapatkan tangkapan layar untuk beberapa jenis analisis;
- Seperti dapat dilihat dari video yang dicegat - data ditransmisikan tanpa pemrosesan apa pun, dan sudah ada di AppSee sendiri video tersebut diproses dan data pemegang kartu (DDC) dicat dengan kotak hitam, seperti yang mereka katakan;
- Perwakilan dari Burger King mengambil posisi bahwa mereka tidak melanggar apa pun, karena data dari AppSee sudah datang kepada mereka setelah diproses dan mereka tidak melihat DDK di dalamnya, seperti yang mereka katakan.
Bahkan jika Anda percaya bahwa kedua pernyataan itu benar, berarti Burger King melanggar
standar keamanan dengan mengirimkan file video ke AppSee dengan tindakannya: Anda tidak dapat mentransfer tanggal kedaluwarsa dan nama pemilik dengan nomor kartu (PAN). Saya biasanya diam tentang telepon. Ini merupakan pelanggaran langsung PCI DSS pada khususnya, dan akal sehat secara umum. MITM biasa dalam WiFi publik untuk mengatur kebocoran DDC, dan nomor telepon pada umumnya adalah cara termudah untuk mendapatkan duplikat kartu sim di departemen mana pun menggunakan nama pemilik dan keterampilan dasar editor grafis.
Burger King sendiri telah
lulus uji standar , yang berarti ia berada di bawah semua tindakan hukuman, yaitu:
- Denda besar
- QSA mengaudit ulang
- Sertifikasi lebih rendah
Sebagai kesimpulan, saya ingin menambahkan bahwa standar seperti GDPR atau 152-, yang menjadi daya tariknya, beroperasi di area geopolitik tertentu, sementara PCI DSS adalah standar internasional untuk sistem pembayaran dan tidak dapat dilanggar di mana pun.