PayPass: узнать траты по бесконтактной карте легко | RusCreditCard.ru

PayPass: узнать траты по бесконтактной карте легко

При помощи приложения «EMV NFC pay card reader», доступного бесплатно в магазине Google Play, можно по прикосновению читать данные о транзакциях карт PayPass и payWave российских банков.

Как узнать траты по бесконтактной картеПриложение NFC-читалки для Android смогло прочитать данные с карт PayPass (Mastercard) и payWave (Visa) о совершённых транзакциях без какой-либо авторизации и отобразило их список на смартфоне. В информации об операциях говорилось только о номере карты, дате и сумме совершённого платежа, но не о назначении.

По словам Волнухина, он проверил уязвимость на имеющихся у него картах PayPass и выяснил, что она затронула только те, что были выпущены российскими банками. Американские и европейские кредитки уязвимость не затронула, поэтому он предположил, что проблема кроется в настройках безопасности отечественных банков.

С подобной проблемой столкнулись и другие участники русскоязычного сообщества сервиса микроблогов Friendfeed. Они сообщили, что таким образом можно прочитать данные не только по бесконтактным, но и по обычным транзакциям, совершенным без NFC. Проверки проводились на картах «Райффайзенбанка», «Альфа-Банка», «Тинькофф Кредитные Системы» и «Ситибанка», то же самое произошло и с картой от «Яндекс.Денег».

Некоторые пользователи сообщили, что приложение показало им не все транзакции, а только часть. У одного из них они показывались вразнобой, а у другого отобразились только те, у которых сумма платежа была меньше 2 тысяч рублей. Для зарубежных карт информация в приложении не отображалась.

В комментариях предположили, что NFC-читалка может «сливать» полученные от считывания карт данные, но по словам автора обсуждения после изучения исходных кодов приложения эта информация не подтвердилась.

Хотя таким образом и нельзя узнать, на что тратил деньги владелец карты, уязвимость может быть серьёзным нарушением частной жизни. Автор обсуждения на Friendfeed привёл анекдотичный пример: официантка или кассир, пробивающая чек, видит, сколько вы тратите и может потребовать солидных чаевых.

Вся суть шумихи заключается в том, что по стандарту EMV данные о последних транзакциях и о балансе кошелька хранятся в незашифрованном виде хотя бы для того чтобы можно было проверить работоспособность карты и наличие на ней средств в случае сбоев оплаты.

Существуют специальные брелки, которые читаю баланс карт (смарт-кард, с чипом которые) и спокойно отображают его без всяких вводов PIN и прочего. Стандарт EMV (Europay/MasterCard/VISA) обязателен к соблюдению на территории Европы, а для Штатов носит рекомендательный характер.

Это задокументированная возможность карт. С информацией, которую вы можете считать с бесконтактной карты вы все равно ничего не сможете сделать.
tjournal.ru


Опубликовано 10 лет назад

Похожие записи

©2012-2023, ruscreditcard.ru | Mail: ruscreditcard@ya.ru | About site

Yandex.Metrika