web-dev-qa-db-ja.com

クレジットカード情報が盗まれる頻度が増えるのはなぜですか。

今日では、ログイン情報が盗まれたハッキン​​グされたWebサイトがたくさんあります。多くの場合、ウェブサイトにはクレジットカードのデータや支払い情報が盗まれたとは記載されていません。

何故ですか?私が想定していることは、支払いデータを格納するデータベースとユーザー資格情報を格納するデータベースの両方が互いに分離されているということです。ここまでは順調ですね。しかし、私が理解していないこと:なぜ彼らは支払い情報を格納するデータベースへのアクセスを見つけることができないのでしょうか?

後者は依然として外部から表示/アクセスできます。これは、ウェブサイトのユーザーが自分の支払い情報を表示/追加/編集することもできるためです。 Paypal /クレジットカード/ IBANを使用するかどうか。したがって、データベースは明らかに「外の世界」からアクセスできます。

62
tim

PCI DSS

これの主な理由は、支払いカードデータを処理するすべての人に、(a)一連のセキュリティ慣行および(通常)監査要件に準拠することを要求することにより、違反の範囲を制限するための支払いカード業界による10年にわたる取り組みです。 (b)支払いカードデータの処理を自分で停止し、これをより適切に処理できる人に委任します。

2番目の部分を過小評価しないでください。ほとんどすべてのサイトが独自のユーザーアカウントデータを処理しますが、クレジットカード決済を受け入れるサイトの大部分(特に小規模なサイト)はnotにクレジットカードデータを保存しますとにかく、毎回CC番号を尋ねずに定期的な支払いが必要な場合は、代わりに、このカードが「記憶されている」ことをユーザーに示すのに十分なだけの情報(例:カード番号の一部)と、銀行/ゲートウェイ/その他が発行したトークンを保存します。これにより、このカードから追加の支払いが可能になります同じマーチャントへ-これらのトークンは、攻撃者にとって無意味です。

100%の証拠ではありませんが、PCI DSSが露骨に違反されている場合が多くありますが、脆弱な企業の数が大幅に減少することを意味します。

106
Peteris

最近開示された10億のユーザーアカウント情報が盗まれたYahooのデータ侵害の場合、暗号化された形式で別のデータベースに保管されていたため、クレジットカード情報は盗まれなかったことが判明しました。

ほとんどの組織は、通常は別のデータベースに暗号化されたクレジットカード情報を保存するための厳格で堅牢な方法を備えています。これにより、組織は機密性の高いデータをデータ侵害から保護できます。

10
HadidAli