记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

信用卡行业的信息安全

2015-08-07 00:02

旧文一篇,回顾学习。

信用卡具有消费信贷获取容易、享有免息期、可循环使用、信贷使用范围广泛等特点,在国内得到快速扩张和增长,给我们带来了消费便利的同时也增加了信息安全的隐患。

 

在走访了国内外的一些信用卡机构,了解了各卡机构的经营管理模式之后,笔者感到以下的安全管理薄弱点普遍存在:

一、营销渠道多用代理机制

据年报显示,工商银行2008年信用卡的发卡量达到3,905万张,比上年末增加了1,567万张,增长了67%。紧随其后的招商银行截止到一季度,发卡量达到2,800万张。建行、中行、交行等均是千万发卡量俱乐部的成员,同时招商银行2008年的年报称其信用卡不良率为2.77%,比年初提高了0.85个百分点;深发展一季报显示,信用卡不良率为1.39%,相比去年底增加了0.8%,高于其个贷不良率。究其原因是目前信用卡发卡营销业务外包,部分地区过度竞争,对于申请人的资格过滤放松,初始授信额度过大,造成客户结构性不良等。同时外包商所收取的持卡人申请信息,没有得到很好的保护,被滥用于几家发卡机构,或者贩卖给其他保险机构等,造成优质客户反而不愿意通过代理申领信用卡。如何确保代理商保管好申请人的信息,提高申请人的质量是要解决的第一个信息安全关口。

另外一种代理是一些商家,如百货公司,大型超市等,他们和银行一起发行联名卡,而联名卡使用过程中同样存在安全隐患。详见下面的分析。

二、消费使用过程中的信息泄露

我们经常听说或看到报道关于信用卡信息被盗用,这些信息是如何传递,又如何被盗用的呢?我们先来了解一下信用卡交易中的信息传递和价值链。

我们使用信息卡时,信息在下面几家机构间传递:

卡组织和交易信息流

有的支付系统要求收单行和发卡行为同一个,这类系统叫做封闭式银行卡组织,如日本的JCB, 而VISA, Master 和我国的银联等都是开放式银行卡组织,即收单行和发卡行允许为不同的银行。银行卡组织(Bankcard Association)通常在全球范围内协调上万家发卡/收单机构、数千万家受理商户、数亿持卡人的行为,这种协调还包含了定价、制定运营规则及其他规则。

开放性银行卡组织作为消费者和商户交易的平台,同时它还制定了一系列规则来指导成员间的“互联”。从图一中资金流向看,消费者刷卡消费后,发卡机构将扣除了交换费的交易资金支付给收单机构;收单机构扣除收单服务费和卡组织网络服务费后,将剩余交易资金支付给商户。从信息传输看,银行卡组织是整个银行卡支付的信息集中处理中心和交换中心,银行卡组织通过集中数据交换而降低交易成本,并促进不同银行的银行卡能够在不同商户处实行支付,从而便利消费者支付。

信息的泄露和支付卡行业的账户信息安全标准PCI DSS

持卡人的信息经过的每一个节点和传输的网络都有泄露的可能。

下面是一个节点被侵入而泄露的例子。

美国零售业巨头TJX公司的信用卡支付系统曾被黑客攻破了。一共有465万信用卡号码被盗窃,被盗窃的数据可能相当于从2002年12月31日至2004年6月28日期间在美国、 波多黎各和加拿大的商店全部交易量的一半。

根据数据突破的规模和类型推测,这个事件可能是内部人员所为。无论怎样,如果能遵守支付卡行业的账户信息安全标准(PCI DSS:payment card industry data security standard)。  这种数据突破事件就不会发生了。PCI DSS 12项基本要求提供了保证卡安全操作的一个简单的路线图。

首先,客户在TJX的交易记录和客户信息在完成交易后仍然留在TJX公司的系统里,存储在该公司在纳萨诸塞州Framingham的设施中。这违反了PCI DSS(支付卡行业数据安全标准)的第三项要求。这项要求规定保护存储的卡持有者的数据。保留最少的持卡人数据。制订一个数据保留和处理策略,限制数据存储量和保留时间,达到恰好能满足业务,法律和管理规定需要的程度。上述策略应文档化。

而TJX公司通过交易都存储了些什么信息呢?我们再来认识一下信用卡上面的信息。

我们拿到的信用卡都是某家银行发行的,带有银行的标识,在卡片的右侧是卡组织的标识,如银联,VISA, Master等。卡片正面下方有16位的卡号也叫“BIN”码,另外还有失效日期,姓名。卡片的反面有七位数字的验证码。

正面:

反面:

标准3.2.1 规定,禁止存储磁条中任一磁道的全部内容。 (磁条可能位于卡的背面、在一个芯片中或其他位置)。这项数据可以被称为全部磁道、磁道、磁道 1、磁道2和磁条数据。

在常见的业务过程中,可能需要保留磁条中的一些数据字段,如持卡人姓名、主账号、有效日期和服务代码等TRACK 2 数据。为了将风险降至最低,只存储业务必须的数据字段。切勿存储卡验证码或个人标识代码(PIN)。而TJX恰恰在他们的Framingham系统中存储了这些信息。系统被攻破后,利用这些信息就可以再制作同样的信用卡,或用这些信息在网上支付。

事件发生后,TJX都不知道哪些客户数据被盗窃了。因为有些被盗窃的数据在后来正常的商务活动中被删除了,另外入侵者抹除了痕迹,使人们没能发现被盗窃的其它数据。

也有人推测认为入侵者也许利用了TJX公司无线网络中的一个漏洞,而交易数据包括Track 2数据传输过程中都没有进行加密,很容易被盗取。 PCI DSS 4.1强制要求对在互联网上传输的客户数据进行加密,特别还要求无线传输的数据用WPA或者WAP2加密。标准4.1要求 使用强壮的加密算法和安全协议,例如安全套接字层(SSL)/传输层安全(TLS)和IP 安全协议(IPSEC)来保护敏感持卡人数据在开放/公共网络上的传输。在PCI DSS中,开放/公共网络的例子包括互联网、WiFi(IEEE 802.11x)、全球移动通信系统(GSM)和通用分组无线业务(GPRS)。4.1.1 通过无线网络传输持卡人数据时,使用WiFi保护访问(WPA 或WPA2)技术,IPSEC VPN 或SSL/TLS进行传输加密。

另外一起事件是美国东海岸连锁超市(East Coast)的用户数据库系统遭到黑客入侵,造成400多万个银行卡账户信息泄露,因此导致了1,800起与银行卡有关的欺诈事件。在持卡人认证过程中,有420万个单个的信用卡和借记卡信息泄露。此次信息泄露事件波及美国东部地区的全部165个连锁店,佛罗里达州的106个连锁店,另外还有部分出售Hannaford产品的其它独立超市连锁店。

三、卡使用后的数据清算与账单打印的安全隐患

同样的,持卡人数据被过度存储,打印传输过程可能被盗取、恶意利用造成批量的卡复制、盗刷和信用的滥用。

笔者在审核了一家账单打印机构发现,其打印服务器和相关的接受数据服务器上存有大量历史数据,泄露后的风险大于只存储当期账单信息。清算机构和打印中心的数据传输使用了未经加密的方法和不安全的协议等。

PCI DSS 4.1规定使用强效加密法和安全协议(例如SSL/TLS 或 IPSEC)以保护在开放型公共网络中传输敏感持卡人数据的安全要要求。

同时PCI DSS对于数据的存储处理环境也有要求, 如建立安全的边界,PCI DSS 1.1 建立包含以下各项的防火墙和路由器配置标准; 安全系统补丁, PCI DSS 6.1 确保所有系统组件和软件都安装了最新的供应商提供的安全补丁等一系列安全要求。

这里摘录PCI DSS标准的框架让我们概括了解关于持卡人数据保护的12个方面的要求。

持卡人数据保护的12个方面

PCI DSS 的推出正是为了解决持卡人数据安全而制定的技术与运营的要求。它适用的范围包括:商户、卡信息处理机构、发卡机构等所有储存、处理或传输付款数据的企业和组织。

笔者希望在构建和完善消费信贷服务体系时兼顾技术管理的要求,能够为消费者创造一个安全放心的用卡环境.。

知识来源: www.superitcs.com/page/research/detail.aspx?moudle=viewpoint&id=10

阅读:174737 | 评论:0 | 标签:信用卡

想收藏或者和大家分享这篇好文章→复制链接地址

“信用卡行业的信息安全”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云