חוקרים באוניברסיטת ניוקאסל שבאנגליה חשפו שיטה העלולה לאפשר להאקרים להשיג את מספרי כרטיס האשראי של לקוחות באתרי קניות רגילים, גם אם אלו עושים שימוש במערכת אבטחה שאינה מאחסנת את פרטי העסקה כולה בשרת. השיטה נשענת על ניחוש פרטיו המלאים של הכרטיס, על סמך המידע החלקי שכן נשמר באתר כחלק מביצוע הרכישה.
לצורך ניחוש של מספר מלא, נדרשים ההאקרים לביצוע של אלפי עסקאות פיקטיביות עד שהאלגוריתם מצליח לפענח את הפרטים בשלמותם. למחשב זה לקח שש שניות. בעוד שמספר חברות אשראי מפעילות מערכות אוטומטיות המסוגלות לזהות רכישות כאלו, לדברי החוקרים המערכת של ויזה - מחברות האשראי הגדולות והפופולריות בעולם - כשלה בזיהוי רכישות פיקטיביות אלו ולא סימנה אותן כחשודות.
השיטה המפורטת במסגרת המחקר אפקטיבית לאתרים המציעים ללקוחות רכישות במסגרת של "קנייה ללא הצגת הכרטיס", ולא דורשים מהלקוח להקיש את המספר הסודי הנמצא בצדו האחורי של הכרטיס. מסקנת החוקרים היא כי בעוד שחברות האשראי התקדמו למערכות אבטחה מתוחכמות ואמינות יותר, ישנם עדיין לקוחות שננטשו מאחור עם אמצעי אבטחה פרימיטיביים יחסית, ונדרש יישור קו שיספק לכולם את אותה רמה גבוהה של בטיחות בעת רכישות מקוונות.
>> לעוד כתבות מעניינות - עקבו אחרינו גם בפייסבוק.
