Avustralya süpermarketlerinde satılan hediye kartları, ihraççının web sitesindeki bir güvenlik açığı sayesinde pimlerini kolayca tahmin edebilir ve bunları sadece depolanan fonlara erişmek için kart numarasını bilmesi gereken hırsızlar tarafından kurtulmaya açabilir.
Güvenlik açığı, JB Hi-Fi’de bir dizüstü bilgisayar satın almak için kullanmayı amaçladığı her biri 500 $ değerinde iki hediye kartı satın alan Melbourne geliştiricisi Simon Dean tarafından keşfedildi.
Kartları satın aldıktan sonra Dean, kartların son dört basamağını çizdiği için onları kurtarmakta zorlandı.
Konuşurken Itnews, Dean, son dört hanenin neden eksik olduğundan emin olmadığını söyledi.
“Eksik rakamlar kesinlikle garipti, [someone] Bu, kartı kullanabilmek için beni yavaşlattı mı, bu da pimi kırmaları için daha fazla zaman ayıracaktı. “Dedi.
Dean, kartları satın aldığı Woolworths konumundan yardım istedi, ancak kart tedarikçisi kart ağına (TCN) yönlendirildi.
“Kart ağını aradığımda, telefonla bana haber verdiler [one] kart etkinleştirilmişti, [and] Bir ya da iki saat içinde kartı satın aldığımda gerçekleştiğini söylediler, “dedi Dean.
Bu, kartın pinini kapsayan ve kazınmamasına rağmen gerçekleşti.
TCN’nin cevabına şaşırmış olan Dean, kart ihraççının web sitesini daha fazla araştırdı ve sayfalarda birden fazla korunmasız API uç noktasına sahip olduğunu buldu.
Üzerinde 20 dolar depolanan yeni bir TCN hediye kartı ile donanmış olan Dean, 10.000 olası dört haneli pin değerini tahmin etmek için bir python betiği kullandı.
TCN web sitesi PIN giriş denemelerinin miktarını sınırlamadığından, Dean, karttaki dört basamağı kapsayan filmi kazıyarak doğruladığı doğru basamak kombinasyonunu çözebildi.
Dean, “Hem senaryoyu yazmam hem de pimi kırmam 15 dakikadan az sürdü. 10 dakikanın senaryo olduğunu ve çatlamayı beş dakika harcadığını söyleyeceğim.” Dedi.
Bilgisayar Bilimi mezunu Dean, kodun çoğunu yazmak için AI kodlama asistanlarını kullandı, ancak kullanılan Python senaryosunun genel yapısını bilerek buna girdi.
Dean, uzun ve hantal bir süreç olduğu ortaya çıkan TCN’ye karşı savunmasızlığı bildirdi.
Ne olduğunu açıklayan bir YouTube yayınladıktan sonra Dean, satın aldığı kartlardan birinden alınan 500 dolar geri ödenen şirketten duydu.
https://www.youtube.com/watch?v=obarxdl23hsBir aydan fazla beklemek zorunda kaldı ve TCN güvenlik açığını bulmak için hiçbir ödül veya böcek ödülünü vermedi.
Dean, başka bir kişinin TCN genel müdürüyle iletişim kurarak paralarını geri almasına yardım ettiğini, ancak güvenlik açığını düzeltmek için yapmayı önerdiği şeyle şirketten haber almadığını söyledi.
Benzer kart itfa sorunları yaşayan diğerleri için Dean, YouTube videosundaki yorumcuların, yukarıdakiler gibi sorunlarla ilgilenen satın alma yerinin hediye kartı departmanıyla iletişim kurmanın daha iyi olduğunu söyledi.
Woolworths ile temasa geçildi Itnews Olay hakkında yorum için.
Kart Ağı-Incomm Yanıt Veriyor
TCN’nin ana şirketi Incomm sözcüsü Dean’in davasını doğruladı, ancak güvenlik açığı hakkında daha fazla ayrıntı vermeyi reddetti.
Sözcü, “Gizlilik ve politika kısıtlamaları nedeniyle bireysel davalar hakkında yorum yapmıyoruz, ancak ekibimizin Bay Dean ile sorunu hakkında temas halinde olduğunu paylaşabiliriz.” Dedi.
Sözcü, “Hem davasını hem de sorunu tam olarak araştırdıktan sonra ortaya çıkardığı endişeleri çözdük.”
Sonrasında Itnews Dean’in davası hakkında yorum yapmak için TCN/INCOMM ile iletişime geçilen şirketin web sitesinde bir afiş ortaya çıktı: “Lütfen not: Fiziksel kartınızı çevrimiçi kullanım için değiştirme seçeneği şu anda mevcut değil. Bu özelliğin önümüzdeki 24 ila 48 saat içinde çevrimiçi olmasını bekliyoruz. Sabrınız için çok teşekkürler!”
Incomm, kartların yasadışı bir şekilde kullanıldığı daha fazla rapor alıp almadığını söylemeyi reddetti.
Sözcü, TCN/Incomm’un, şirketin bu tür sahtekarlık girişimlerini daha da önlemek için hangi karşı önlemleri aldığı sorulduğunda, bir hediye kartının yaşam döngüsü boyunca, aktivasyondan kurtuluşa kadar şüpheli etkinlikleri izlemek için bir dizi güvenlik aracı ve teknolojisi kullandığını söyledi.
Sözcü, “Müşterilerimiz ve ortaklarımız için ek risk oluşturacak olan bu korumaları anlamasını ve kötüye kullanmasını önlemek için güvenlik önlemlerini nasıl dağıttığımızın özelliklerini duyurmuyoruz.” Dedi.
TCN/Incomm, hediye kartlarıyla kötüye kullanımı araştırmak daha zor.
Sözcü, “Potansiyel sorunları olabildiğince çabuk araştırmak için çalışırken, hediye kartlarının kimliğini anında doğrulayabileceğimiz kayıtlı bir kullanıcıya sahip olmadığını akılda tutmak önemlidir.” Dedi.
Diyerek şöyle devam etti: “Bu, bir tüketici sektör genelinde standart olarak bir sorunu bildirdiğinde doğrulama sürecini daha fazla dahil ediyor.”