Visa оказалась уязвима к подбору CVV-кода
Исследователи из Ньюкаслского университета обнаружили, что с помощью распределенного перебора разных значений можно за несколько секунд подобрать действующие параметры карты платежной сети Visa. Статья отправлена в IEEE Security & Privacy, препринт доступен на сайте университета.
Многие современные интернет-магазины при совершении платежа с помощью банковской карты кроме традиционных данных (номер карты, имя держателя и срок действия) также в целях безопасности запрашивают код проверки подлинности CVV/CVC, отпечатанный на обратной стороне — таким образом, злоумышленник, завладевший остальными данными карты, не может совершить платеж. Новая работа британских специалистов по информационной безопасности показывает, что трехзначный CVV-код карты платежной системы Visa можно получить прямым перебором с помощью распределенных запросов.
Авторы взяли данные о топ-400 онлайн-магазинах по рейтингу сервиса Alexa, принадлежащего Amazon. Из полученного массива исследователи убрали наиболее защищенные магазины, которые не позволили им получить данные, в результате чего список сократился до 389 сайтов. С помощью фреймворка Selenium авторы создали бота для Mozilla Firefox, который использовал доступный список сайтов для большого количества одновременно рассылаемых запросов на проведение транзакции с разными параметрами карты — фактически, таким образом разработчики реализовали распределенный прямой перебор.
В результате проведенных экспериментов авторы выяснили, что 291 сайт из 389 проверенных требовал ввода минимальной информации всего в трех полях: номер карты, срок действия и CVV, а 26 магазинов даже не запрашивали CVV-код и требовали заполнения всего двух полей. Остальные сайты оказались более защищенными: 25 использовали четвертое поле для запроса почтового индекса, а оставшиеся 47 использовали технологию дополнительной защиты 3-D Secure.
Исследователи обнаружили, что распределенный брутфорс позволяет за считанные секунды подобрать не только CVV-код карты платежной системы Visa, но и, например, срок действия. Таким образом, злоумышленник может только при наличии номера карты подобрать остальные параметры за несколько секунд. При этом платежная система Visa во время проведенных экспериментов никак не реагировала на многократные запросы с разных сайтов, содержащие неправильные данные. По словам авторов, платежная система Mastercard в аналогичной ситуации определяет атаку перебором меньше, чем за десять попыток запросов с разных сайтов.
Перед публикацией исследования авторы уведомили представителей Visa, однако компания прокомментировала обнаруженную уязвимость следующим образом: «Исследование не учитывает многоуровневую защиту от мошенничества, которая работает в платежной системе и препятствует проведению несанкционированных транзакций в реальном мире». Необходимо отметить, что представители Visa не опровергли возможность подбора данных, а также не уточнили, как именно происходит защита от мошеннических транзакций — возможно, речь идет о технологии 3-D Secure, однако данные авторов исследования показали, что многие сайты не используют этот инструмент.
Ранее британская компания Intelligent Environments разработала технологию применения смайликов вместо цифр в качестве пин-кода для доступа к банковским системам. Это позволяет использовать 3498308 разных комбинаций эмодзи в качестве пин-кода, в то время как число комбинаций из четырех неповторяющихся цифр всего 7290 — таким образом, использование смайликов оправдано с точки зрения безопасности.
Он помогает почувствовать прохладу в жару
Японский инженер разработал персональный гаджет для охлаждения тела пользователя в жару с помощью надетой на него футболки. Устройство крепится на поясе и совершает возвратно-поступательные движения, резко отталкивая и притягивая нижний край футболки, создавая за счет движения воздуха под одеждой ощущение прохлады. Видео с демонстрацией работы устройства изобретатель выложил твиттере. При поддержке Angie — первого российского веб-сервера Лето 2023 года по предварительным оценкам ученых может стать самым теплым за всю историю наблюдений. И по всей видимости очень жаркая погода в скором будущем станет частью новой климатической нормы. В связи с этим инженеры ищут решения, которые бы позволили человеку поддерживать комфортную температуру тела в сильную жару. Некоторые компании предлагают встраивать вентиляторы в рюкзаки, или использовать умные ткани для одежды. Другие — использовать персональный миниатюрный кондиционер размером с мобильный телефон, работающий на элементах Пельтье. Инженер из Японии по имени Кадзуя Сибата (Kazuya Shibata) придумал свой способ спасения от жары. Он изобрел устройство, которое дергает надетую на тело пользователя футболку и таким образом охлаждает его, создавая движение воздуха под одеждой. Зачастую люди совершают подобные движения в жаркую погоду, когда хотят почувствовать прохладу, но по каким-либо причинам не могут снять с себя лишнюю одежду. Устройство представляет собой небольшую коробку, которая крепится на поясе. В верхней ее части расположен актуатор, который совершает возвратно-поступательные движения, резко отталкивая ткань футболки от тела, а потом притягивая ее обратно. Чтобы при возвратном движении ткань двигалась вместе с актуатором, она прижимается снаружи с помощью магнита. Сбоку на устройстве расположен выключатель и, по всей видимости, регулятор частоты хлопанья футболкой. Животные тоже страдают от жары, и некоторые из них выработали довольно необычные способы снижения температуры тела. Например, ехидны, чтобы охладиться в жаркую погоду выдувают из носа пузыри слизи, которые лопаются и увлажняют кончик их клюва. После этого испаряющаяся жидкость охлаждает поверхность кожи, а с ней и кровь в кровеносных сосудах под поверхностью кожного покрова.