英国公司迅速采取行动以修复支付卡数据加密
根据安全公司Wandera的说法,easyJet和Chiltern铁路已经迅速提取了发现旨在影响全球16家公司的安全脆弱性,但easyJet表示尚未发现其系统上漏洞证明。
安全公司声称,16个全球公司未能有效地将流量加密到其网站和应用程序的付款部分,可能会将支付卡详细信息暴露给黑客。
根据Wandera的说法,受影响的公司每天提供大约500,000名客户的总和,这意味着数以万计的付款卡详细信息可能已经暴露。
Wandera的威胁研究团队在测试扫描和阻塞安全威胁的技术时确定了漏洞。
该公司表示,它的研究人员对发现支付卡数据从移动设备发送而不加密的发现感到惊讶,因为受影响的公司在其网站和应用程序中的其他地方使用加密。
“我们很惊讶加密在任何地方都没有使用,”研究团队在博客岗位上说。
研究人员发现未加密的沟通并不总是拥有完整网站。研究团队表示,在某些情况下,它仅限于未加密的网站中的少数页面,并且似乎通过开发过程(例如升级付款页面)表示。
根据Wandera的说法,该漏洞展示了确保全部结束服务的大公司内部的缺点。“他们需要考虑整个移动网站或应用程序,”研究团队表示。
除了EasyJet和Chiltern铁路外,受影响的公司还包括英国的Dash卡服务和KV汽车; Aer Lingus和PerfectCard在爱尔兰;在法国的1毛车和oui汽车;圣地亚哥动物园,美国出租车,宽带提供商在美国获得Hotwired和Tribeca Med Spa;加拿大航空和加拿大CN塔;马来西亚的亚航;和新加坡的SITY FIVE票务公司。
Wandera说,自从警觉到漏洞,EasyJet,Chiltern铁路,圣地亚哥动物园,CN塔,Aer Lingus和加拿大航空公司已经证实他们已经取消了遗漏了遗漏。
但easyjet每周告诉计算机,没有证据表明该漏洞在其系统上存在。
“所有乘客数据都传输HTTPS加密。我们在Wandera的索赔的光线下重新测试了所有的我们的媒体渠道,并可以确认这是这种情况。此外,没有easyjet客户报告了easyjet应用程序的支付安全性,“航空公司在一封电子邮件中表示。
“我们的安全专家已联系Wandera,他们尚未向我们提供足够的信息来验证他们的索赔,”它补充说。
Wandera表示,它将继续帮助所有受影响的公司试图通过在其服务中实施有效的安全控制和加密来解决问题。
它尚不清楚未经授权的第三方是否已访问任何信用卡信息,但Wandera表示,受影响公司的客户应密切监测其帐户。
除了支付卡详细信息外,Wandera还表示,可能已经公开了Passport详细信息,车辆登记信息,电子邮件地址,帐单地址和电话号码。
研究团队表示没有充分的理由未加密此付款信息。“今天的最佳实践是为大多数公司加密一切,”他们说。
他们添加的漏洞可能是无意的,因为编码不佳,因为受影响的公司没有考虑到整个采购过程或因为受影响的公司正在使用服务来履行付款,并且该服务具有脆弱性。
最新版本的ThePayment Card Industry的数据安全标准(PCI DSS)在加密附近增加了要求,但有些行业部门说他们仍然不够远。
面对零售业中的数据泄露的增加,已呼吁PCI DSS要求根据国际标准进行加密。
特别是,已经要求改进与加密密钥管理有关的要求。
2015年1月,管理PCI DSS的Payment Card Presence安全标准委员会(PCI SSC)告诉计算机每周标准涵盖加密和关键管理。
“PCI不仅在PCI DSS中解决了密钥管理和加密,还解决了涵盖了特定区域的标准,其中在事务过程中专门用于关键管理和加密控制,例如点加密,引脚安全要求和PCI码头安全标准,“欧洲杰伊国王,欧洲杰伊·科西总监。
“PCI非常重视安全性,并与所有相关组织一起使用,以确保我们利用或引用在整个交易生命周期中保护持卡人数据的所有方面的最新安全要求。
“作为其中的一部分,PCI DSSSREFERSTENTS在适当时特定的外部文档。例如,“安全密码学”的术语定义清楚地指向NIST [国家标准和技术研究所]标准,这些标准定义了可接受的加密层面,“他说。
然而,批评者表示,PCI DSS合规性并不一定意味着商业运营是安全的。批评者认为PCI DSS评估应该要求彻底和有效的加密证明,而不仅仅是由商家本身,还要处理他们用于处理付款的任何供应商。