Ukázala se další slabina platebních karet. Hacknout je lze za šest sekund (video)

6. 12. 2016

Sdílet

 Autor: Redakce

Výzkumníci z britské Univerzity v Newscastlu publikovali práci, v níž ukazují velmi slabé zabezpečení platebních karet. I s pouhou znalostí čísla karty lze v řádu sekund získat datum konce platnosti a také ochranný kód CVV2 napsaný na zadní straně. Visa totiž neimplementovala žádnou ochranu proti testování různých kombinací údajů. MasterCard na druhou stranu po méně než deseti neúspěšných pokusech kartu zablokoval.

Indové hackli kreditku během šesti sekund
Výzkumníci hackli kreditku během šesti sekund (foto: Visa)

Čtveřice vědců ukázala sílu tzv. distribuované odhadovacího útoku. Visa proti němu nemá obranu, vše nechává na platebních bránách, které používají prodejci. A to je problém, protože všechny možné kombinace čísel můžou útočníci vyzkoušet na desítkách různých bran (odtud „distribuovaný“).

 

Útočník stále potřebuje znát 16místné číslo karty. K němu se může dostat na černém trhu (prý stojí dolar jedno), případně jej lze při blízkém setkání načíst pomocí NFC čtečky v mobilu. Některým platebním bránám stačí jen číslo karty a datum konce platnosti karty. To lze získat na maximálně 60 pokusů, protože karty mají platnost nanejvýš pět let. Pokud už znají oba hlavní údaje, lze na dalších bránách otestovat platný kód CVV2. To je maximálně 1000 pokusů.

Pokud by všechny brány vyžadovaly zadání data konce platnosti a kontrolního kódu, útočníci by potřebovali až 60 000 pokusů. Protože ale někteří kód vůbec nepotřebují, lze kartu hacknout po 1060 odhadech. Některé brány ale navíc vyžadují ještě zadání adresy, to už se odhaduje těžko. Ideální jsou pak brány s plně implementovaným systémem 3D Secure. Přes ně distribuovaný útok neprojde.

Výzkumníci otestovali brány na 389 nejnavštěvovanějších webech světa. Z toho 26 jich vyžadovalo jen datum expirace, 291 chtělo CVV2, 25 bran pak i adresu. Jen 47 stránek používalo 3D Secure. Tým vědců svůj výzkum publikovalo a ještě dopředu informovalo 36 největších zranitelných webů. Osmadvacet na výzvu pro zvýšení zabezpečení nereagovalo.

ICTS24

Není ale pouze problém v obchodech, že používají nezabezpečené brány. Za nos se musí chytnout i Visa, která na rozdíl od MasterCardu nedokáže rozpoznat distribuovaný útoky ani po tisících pokusech o prolomení jedné karty.

Zdroj: NCL via The Hacker News