英国公司迅速采取行动以修复支付卡数据加密
欧盟委员会为Equinix提供了进入的预先获得数据中心竞争对手TelecityGroup
德国最终确定立法,以支持CNI网络安全
麦肯锡说,物联网价值甚至大于炒作
Blackenergy Trojan Resurfaces导致停电
会计师表示,使用价值170亿美元的智能手机
exasol和birst加入内存数据库,以“网络的”BI,以帮助相互扩展
甲骨文招募1,400名云销售专业人士与欧洲广泛的招聘活动
特伦特和鸽子住房几乎升级了基础设施
斯塔福德郡警察选择波音作为其战略伙伴
印度IT服务供应商Infosys在爱尔兰创造了工作
巴黎恐怖袭击是否会推动法国政府妥协数据保护的安全性?
英国博物馆使用Google Street View来提升在线访问展品
2015年度CIO的十大高级内容文章
BT选择内幕克莱夫塞利运行OpenReach
Fico Ciso Vickie Miller表示,安全分析需要实用的方法
George Osborne承诺为数字技术1.8亿英镑的资金
OFCOM向印度服务供应商NIIT提供IT管理
奥姆康康的报告称,普通英国宽带速度高达28Mbps
在安全港统治后,人眼睛的伊斯兰教眼睛行业增长机会
Facebook首席执行官Mark Zuckerberg为2016年举办个人AI挑战
警方采取措施对抗网络偏群岗DD4BC
怪物为IT行业多样性指南推出技术人才章程
案例分析:空中客车规定了改变IT供应商的挑战
如何避免创新信誉崩溃
Forrester预测软件的繁荣时间
Etihad Airways选择认识到支持数字转型
格拉斯哥城市电子邮件中断在数据中心崩溃后继续
野外屏幕保护慈善机构使用栓塞来保护濒危物种媒体库
Dropbox敦促用户即将关闭邮箱应用程序
乔治索罗斯支持东欧的IT服务
Gartner Hails Datacentre成本节约停止虚拟机蔓延
虽然结果强劲,英特尔股价下跌
缺乏数字技能正在杀灭初创公司,揭示了劳埃特顿调查
2015年十大网络故事
它采购领导莎拉赫雷尔留下皇冠商业服务
Microsoft Security Tools删除危险的Dell证书
只有一半的企业准备捍卫网络攻击
WEF表示,各国低估网络攻击风险
政府审查其合同战略作为“不透明”外包交易已达到过期
网络违规者袭击了英国消费者的五分之一
ICO表示,NHS患者数据分享选择必须享受2016年1月
反对邮局的小组诉讼在地平线争执准备
ICO订单Alzheimer的社会改善数据保护
Microsoft CEO以IT安全获取个人资料
Techuk说,警察和行业一起解决网络犯罪
安全对IoT市场成功至关重要
EMC添加远程Isilon SD Edge和混合云池
研究发现,欧盟经理需要提出网络安全合作
欧盟数据保护官方在安全港的继任者乐观态度
您的位置:首页 >科技 > 物联科技 >

英国公司迅速采取行动以修复支付卡数据加密

2021-06-09 11:44:15 [来源]:

根据安全公司Wandera的说法,easyJet和Chiltern铁路已经迅速提取了发现旨在影响全球16家公司的安全脆弱性,但easyJet表示尚未发现其系统上漏洞证明。

安全公司声称,16个全球公司未能有效地将流量加密到其网站和应用程序的付款部分,可能会将支付卡详细信息暴露给黑客。

根据Wandera的说法,受影响的公司每天提供大约500,000名客户的总和,这意味着数以万计的付款卡详细信息可能已经暴露。

Wandera的威胁研究团队在测试扫描和阻塞安全威胁的技术时确定了漏洞。

该公司表示,它的研究人员对发现支付卡数据从移动设备发送而不加密的发现感到惊讶,因为受影响的公司在其网站和应用程序中的其他地方使用加密。

“我们很惊讶加密在任何地方都没有使用,”研究团队在博客岗位上说。

研究人员发现未加密的沟通并不总是拥有完整网站。研究团队表示,在某些情况下,它仅限于未加密的网站中的少数页面,并且似乎通过开发过程(例如升级付款页面)表示。

根据Wandera的说法,该漏洞展示了确保全部结束服务的大公司内部的缺点。“他们需要考虑整个移动网站或应用程序,”研究团队表示。

除了EasyJet和Chiltern铁路外,受影响的公司还包括英国的Dash卡服务和KV汽车; Aer Lingus和PerfectCard在爱尔兰;在法国的1毛车和oui汽车;圣地亚哥动物园,美国出租车,宽带提供商在美国获得Hotwired和Tribeca Med Spa;加拿大航空和加拿大CN塔;马来西亚的亚航;和新加坡的SITY FIVE票务公司。

Wandera说,自从警觉到漏洞,EasyJet,Chiltern铁路,圣地亚哥动物园,CN塔,Aer Lingus和加拿大航空公司已经证实他们已经取消了遗漏了遗漏。

但easyjet每周告诉计算机,没有证据表明该漏洞在其系统上存在。

“所有乘客数据都传输HTTPS加密。我们在Wandera的索赔的光线下重新测试了所有的我们的媒体渠道,并可以确认这是这种情况。此外,没有easyjet客户报告了easyjet应用程序的支付安全性,“航空公司在一封电子邮件中表示。

“我们的安全专家已联系Wandera,他们尚未向我们提供足够的信息来验证他们的索赔,”它补充说。

Wandera表示,它将继续帮助所有受影响的公司试图通过在其服务中实施有效的安全控制和加密来解决问题。

它尚不清楚未经授权的第三方是否已访问任何信用卡信息,但Wandera表示,受影响公司的客户应密切监测其帐户。

除了支付卡详细信息外,Wandera还表示,可能已经公开了Passport详细信息,车辆登记信息,电子邮件地址,帐单地址和电话号码。

研究团队表示没有充分的理由未加密此付款信息。“今天的最佳实践是为大多数公司加密一切,”他们说。

他们添加的漏洞可能是无意的,因为编码不佳,因为受影响的公司没有考虑到整个采购过程或因为受影响的公司正在使用服务来履行付款,并且该服务具有脆弱性。

最新版本的ThePayment Card Industry的数据安全标准(PCI DSS)在加密附近增加了要求,但有些行业部门说他们仍然不够远。

面对零售业中的数据泄露的增加,已呼吁PCI DSS要求根据国际标准进行加密。

特别是,已经要求改进与加密密钥管理有关的要求。

2015年1月,管理PCI DSS的Payment Card Presence安全标准委员会(PCI SSC)告诉计算机每周标准涵盖加密和关键管理。

“PCI不仅在PCI DSS中解决了密钥管理和加密,还解决了涵盖了特定区域的标准,其中在事务过程中专门用于关键管理和加密控制,例如点加密,引脚安全要求和PCI码头安全标准,“欧洲杰伊国王,欧洲杰伊·科西总监。

“PCI非常重视安全性,并与所有相关组织一起使用,以确保我们利用或引用在整个交易生命周期中保护持卡人数据的所有方面的最新安全要求。

“作为其中的一部分,PCI DSSSREFERSTENTS在适当时特定的外部文档。例如,“安全密码学”的术语定义清楚地指向NIST [国家标准和技术研究所]标准,这些标准定义了可接受的加密层面,“他说。

然而,批评者表示,PCI DSS合规性并不一定意味着商业运营是安全的。批评者认为PCI DSS评估应该要求彻底和有效的加密证明,而不仅仅是由商家本身,还要处理他们用于处理付款的任何供应商。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。