סליקת כרטיסים והאבטחה – שלא קיימת

בשבוע שעבר חתמתי חוזה במסגרת העסק שלי לקבל כרטיסי אשראי ללקוחות, והוספתי גם שיפור ללקוחות לגבי תאריכי החיוב (אפשר לקרוא על כך בהרחבה כאן).

עד כאן הכל טוב ויפה, אך מה לעשות שעבדכם הנאמן Geek בנשמתו, ואני אוהב לבדוק איך דברים עובדים. יום שבת הגיע, היה משעמם אז… בוא נבדוק קצת את התוכנה שהתקנתי עבור סליקת כרטיסים של חברה מסויימת (לא אציין פרטים של החברה, אני לא כל כך מחפש תביעות).

התחלתי להסתכל על התוכנה ולבדוק תלויות שלה וגיליתי שהיא עובדת עם MDB, כלומר זו תוכנה שנכתבה עם מיקרוסופט אקסס. נו טוב, גם זה קורה.

לקחתי קובץ MDB והחלטתי לפתוח אותו ב-Hex Editor. הקובץ נפתח בלי בעיה. אוקיי, בוא נריץ חיפוש מחרוזות טקסט. כל מספרי האשראי של ויזה בארץ מתחילים ב-4580 אז בוא נחפש 4580 ונראה אם נמצא משהו.

המממ….. (לחצו על התמונה לקבלת גירסה מוגדלת)

card details-in-hex-editor

מה אתם יודעים! המספר נמצא גלוי לכל, כולל תוקף ושם מלא של המנוי! (במקרה הזה אני הכנסתי למערכת מספר כרטיס פיקטיבי על שם .. החתולה שלי, את השם תראו שם).

עכשיו מבינים שיש פה חור אבטחה ענק! התוכנה מבצעת את הסליקה עם מערכת של שב”א דרך האינטרנט וכך תאורתית אפשר לפרוץ למכונת ה-Windows (כולנו יודעים כמה Windows “מאובטח”!). כל מה שהפורץ צריך לעשות זה לפרוץ למכונה, להוריד את קובץ ה-MDB (לא צריך לחפש אותו יותר מדי, הוא נמצא בתיקיה תחת שם התוכנה שנמצאת ישירות על ה- :C).

לאחר גילוי זה, התקשרתי הבוקר לאותה חברה ודיברתי עם הנציגה. שאלתי אותה אם יש להם באמת תקן PCI כמו שמופיע באתר שלהם. תשובתה “זה בדרך”. סיפרתי לה מה גיליתי והיא אוטומטית הכחישה שזה יכול להיות “מה פתאום! הכל מוצפן!”. אחלה הצפנה, לא?

הכל מוצפן הא? חיברתי אותה ל-VNC, פתחתי מולה את עורך ה-HEX והראתי לה מה שאתם רואים. תגובתה? “אני לא מכירה את התוכנה שאתה מראה לי כרגע”. אה, בגלל שהיא לא מכירה מה זה עורך HEX, הטיעון שלי לא נכון.

החלטתי ליצור קשר עם חברת שב”א, שדרכה אותה חברה סולקת. ענה לי בחור שאפשר לתמצת את תשובתו ל”זו לא בעיה שלנו, פנה לחברות אשראי”. פניתי לחברת ישראכרט, וכבר אחרי 30 דקות שחזרתי 10 פעמים על הסבר פשוט של מה שאני מנסה לאמר, הצליחו להעביר אותי למישהי במחלקת הבטחון. שלחתי אליה אימייל עם כל הפרטים, כולל שם החברה.

תמהני, אם זו אבטחת המידע של אותה חברת סליקה, אני מפחד לדמיין מה קורה אצלם בשרתים ומה יקרה אם יפרצו לשם מחר. מה שמפתיע אותי זו האדישות של כל הגורמים כמו שב”א וישראכרט (לאומי קארד ו-ויזה כא”ל אמרו שיחזרו אליי. הם עדיין לא חזרו).

מה ההמלצות שלי? 2 המלצות פשוטות:

  • חברה טוענת שיש לה PCI? בקשו מסמך המראה את ה-PCI שלהם.
  • אם יש לכם לקוח שעובד עם מערכת סליקה שמתחברת למודם או סולקת לאינטרנט (לא דרך API וובי אלא ממש תוכנה מותקנת במחשב), בדקו אם היא משתמשת ב-Access, ובדקו את קבצי ה-MDB שלה עם חיפוש כמו 4580. אם מצאתם מספרים גלוים, כדאי שתחשבו במהירות על אלטרנטיבה.

עצוב למצוא שבשנת 2011 גם אבטחה של כרטיסי אשראי נעשית בשיטת ה”יהיה בסדר”.

באשר לעסק שלי, כמו שציינתי בעבר: ההגינות היא הדבר הכי חשוב לי. יכלתי לכתוב את הפוסט הזה (או לא לכתוב), להבטיח ללקוחות ש”הכל בסדר” ולהשתמש במערכת הזו, אבל אני מעדיף להיות הגון ולספר על המערכת הזו וכשליה (אגב, אף מספר כרטיס אשראי של לקוח לא הוכנס אליה והתוכנה הוסרה) ולעבור ל-Paypal. אינני יודע מה המתחרים עושים, ולכן כדאי לבדוק (אם יש לך מנוי אצל המתחרים) מי הסולק שלהם ולספר להם על העניין.

Comments

comments

22 תגובות בנושא “סליקת כרטיסים והאבטחה – שלא קיימת

  1. חץ,

    בפוסט שלך מוזכרים כמה גורמים, שבעצם כל אחד מהם אחראי על אבטחת נתוני כרטיסי האשראי, כולל אתה בעצמך (האם אתה עומד בדרישות PCI?).

    מכיוון שמוזכרים בפוסט כמה פרטים שלא ברורים לי לגמרי, קשה לי להגיב באופן מלא.

    דבר איתי ותקבל תשובות לשאלות בנושא.

    ישי

    • אינני עומד בדרישות PCI מכיוון שלא נתבקשתי לעמוד בדרישות אלו. מעולם לא היה לי תכנון להחזיק בשרתים שלי מספרי אשראי של לקוחות.
      תודה על השיחה 🙂

      • מכיוון שהנושא תפס קצת גובה, כצפוי, חשבתי להוסיף כמה מילים.

        הסיפור, כפי שבררתי עם חץ, הוא של חברה המוכרת פתרון מבוסס PC לסליקת כרטיסי אשראי. החברה מציגה באתר שלה סמל של PCI DSS (שהינו תקן האבטחה לכרטיסי אשראי), אך התוכנה אינה עומדת בדרישות התקן, ולפיכך כרטיסי האשראי אינם מוצפנים.

        ישנן חברות הנותנות פתרונות סליקה באינטרנט בישראל, אשר הינן מאובטחות כנדרש, עומדות בדרישות PCI DSS, ומשמשות בתי עסק רבים. במקרה של חץ, מסיבות טכניות, פתרונות אלו לא התאימו, ולכן נדרש לחפש פתרון אחר.

        • ישי שלום רב,
          חשוב לי שתבין אתה ויבינו כולם לא ניתן כיום בשום פנים ואופן לעמוד בתקן וזאת עד שחברות האשראי וש.ב.א. יעמדו בתקן.
          כל מי שמשתמש במנוע ששבא מספקת ( ולא ניתן אחרת ) למעט כאלה שסולקים לחו"ל או יצרנים בעצמם והם מעטים ביותר ( אולי בכלל לא קיימים בארץ ) פשוט אי אפשר לעמוד בתקן .
          יש כאלה שקיבלו הסמכה על מערכת אחרת בכלל שעובדת מול בנקים בחו"ל והם מציגים את התעודה לכלל המערכות מה שניקרא "חצי שקר" העמידה בתקן היא לא העיקר כאן ולא התעודה היא החשובה מה שחשוב זה דבר מאוד פשוט – אסור שישמר במערכת מלוא מספר כרטיס האשראי (אלא רק 4 ספרות אחרנות ) , אסור תוקף ( הוא גם הורד מהשוברים) , אסור קוד אימות ואסור תעודת זהות אם כל אלה לא נשמרים אז אין כל בעיה

          • אלכס,

            אני מסכים שחברות שמשתמשות ברכיב של שבא, תצטרכנה לחכות להשלמת התהליכים ששבא עוברת, כדי להשלים את העמידה בתקן.

            מצב זה אינו נכון לגבי חברות הסולקות באינטרנט – אלה דווקא יכולות לעמוד בתקן בקלות, על ידי שימוש בדף תשלום של חברות העומדות כבר בתקן, ויש כמה חברות כאלו.

            נקודה חשובה נוספת היא חשיפת כרטיס האשראי. גם במערכות שאינן עומדות בתקן אפשר לעשות די הרבה לטובת אבטחת המידע. אנחנו נתקלים במספר רב של מפיצי תוכנות של שבא שפשוט מתרשלים באבטחת המידע של לקוחותיהם בצורה מזעזעת.
            חלק גדול מהמפיצים פשוט פותחים את מחשבי הלקוחות שלהם לאינטרנט, מתקינים תוכנות שליטה מרחוק בלתי מאובטחות ואפילו לא משתמשים בסיסמה אפקטיבית. במקרים כאלה, בית העסק פשוט חשוף, הלקוחות חשופים, וכל זאת בגלל רשלנות פושעת וחוסר מקצועיות.

            אני חושב שהסיפור של חץ מדבר על אחד ממקרים אלו.

          • שלום לישי ולשאר הקוראים,

            גילוי נאות – אני בעלים ומנכ"ל של מספר חברות העוסקות בתחום הן בישראל והן בחו"ל וכן משמש כיו"ר אירגון יצרני ומפיצי מערכות סליקה בישראל

            לצערי רב הבלבול על המובן ואבקש לעשות מעט סדר "בבלגן", נכון כתב אלכס שלא ניתן בישראל לעמוד בתקן, ואין יוצא מהכלל ואסביר.
            בין אם המערכת מיועדת לעסקות פנים אל פנים או טלפוניות או אינטרנט כולן ללא יוצא מהכלל בסופו של דבר מתנקזות לשבא ולחברות האשראי בישראל. מספיק שחוליה אחת בשרשרת אינה עומדת בתקן על מנת של השרשרת לא תוכל לעמוד בו. בישראל הן חברות האשראי והן שבא אפילו לא בכוון של עמידה בתקן, לכן אין משמעות כלל להצפנה כזאת או אחרת בזמן שנתוני שבא ומערכותיה אינן מוסמכות לתקן, וזאת על אחת כמה וכמה בחברות האשראי.

            יש צורך להבין שיש שני תקנים בעצם ולא אחד: DSS המיועד בעיקר לבתי עסק ואירגונים במאחסנים נתוני לקוחות ופועלים על גבי תשתיות בסיסי נתונים – אלא חייבים לעמוד באחת ממספר דרגות של התקן בהתאם למספר פרמטרים, התקן השני הבעייתי וזה הנמצא כאן במרכז הדיון הוא PA Payment Application והוא המיועד לגופים במבצעים סליקת כרטיסי אשראי או מספקים מערכות תשלומים – קרי קופה, מערכת קבלות וכו'
            תקן זה נשען על קשר לשבא ולרכיב שלה והוא זה המהווה את הפרצה העיקרית, ללא עמידתה של שבא (ומאחוריה בעלי הבית – חברות האשראי) אין בכלל מה לדבר על תקן או עמידה בו.
            חברה הטוענת שיש לה הסמכה ל PCI מן הראוי להבין שמדובר ב"פיקציה" שכן התקן נשען על גירסת התוכנה קרי כל נגיעה בקוד מחייבת הסמכה / חידוש הסמכה, היות ומערכת אשראית של שבא כלל לא בכוון כאמור, לא ניתן לומר שיש במדינת ישראל ולו מערכת אחת העומדת בתקן. זאת ועוד – ברגע ששבא תוסמך (אם וכאשר) הרי כל מי שביצע מהלך כלשהו בכוון הסמכה יאלץ לבצע את כל המהלך מחדש שכן מערכת שבא תשונה ובשל כך גם המערכת שלו

            למרות האמור לעיל, יש בארץ מערכות טובות ואמינות ומוגנות העומדות בדרישות התקן גם אם לא הוסמכו (בעיית ההסמכה היא סאגה נפרדת שיש עליה לא מעט מה לומר בשל המצב שבו יש 2 וחצי חברות הסמכה וחברות האשראי מטילות את כל האחריות להגנה על לקוחותיהן על מפתחי ומפיצי המערכות – אך לא בכך עוסק הדיון הזה)

            החברה בראשה אני עומד מספקת סל שירותים כזה ומעולם לא התיימרה לטעון כי היא או מי ממערכותיה מוסמכות – להיפך.

            האמור לעיל לא נועד לשמש ככלי לקידום מכירות אלא להבהרת העניין לאור "הבלגן" השרוי בשוק

            ניתן לפנות אלי ליעוץ ללא תשלום (טוב עד שלב מסויים :)) בכל דבר ועניין הקשור כמובן בנושא סליקת כרטיסי אשראי, אני מבטיח שלא אנסה לכוון את השיחה לביצוע מכירות של מוצרי החברה שלי שאפילו את שמה לא הזכרתי מטעמי הגינות במאמר זה.

  2. חץ, הירידה שלך על ישראל אינה במקום.

    הדברים האלה קורים בכל מדינה בעולם ובהמון המון חברות. ראיתי דברים במו עיני שכל השומע אותם תצילנו שתי אוזניו. המקרה שאתה מתאר הוא אכן חוסר תאימות לתקן ה-PCI DSS שדורש אכסון מוצפן של כל מידע על כרטיס אשראי, וכן לו היית עובר מבדקי PCI היית נכשל ונדרש לשלם קנס… אולם יחסית לעברות PCI של חברות בעולם – זה ממש ממש בקטנה.

    — אריק

  3. הלכת רחוק. שמע סיפור (שמשפיע על כולנו) :

    רובנו לא בודק את זה אבל ברוב המקומות שבהם אנחנו קונים (פיזית) נשאר הספח שעליו אנחנו חותמים. רובנו לא שם לב לזה אבל מספר האשראי *המלא* מופיע ברוב המקומות שבדקתי.
    אותי באופן אישי זה מאוד הטריד וזה חזר על עצמו בהרבה מקומות.
    אז התקשרתי לויזה ודיברתי עם מוקדן שאמר לי שאין להם מה לעשות בנידון.
    תהיתי בקול רם איך זה יכול להיות. הרי אם אותו מוכר שמקבל 20 שקל לשעה יצא עם הספח שלי לקניות ברשת זו כן תהיה בעיה שלהם.
    "נכון, אבל כרגע זו לא בעיה שלנו ולמחלקת הבטחון שלנו אין מה לעשות בנידון"
    וואלה.
    אז נכון שלא בטוח לקנות ברשת אבל נראה לי שהמסקנה היא שלא בטוח לקנות באשראי בכלל.
    (לא שעברתי למזומן מאז…)
    אני משתדל למחוק מהספח את המספר המלא.

    • עמרי,

      אין לך מה לדאוג.

      אינך אחראי על קניות של אחרים בכרטיס שלך. דמי המנוי והשימוש שאתה משלם (או שלא, לפעמים הבנק סופג אותם אם עשית מספר מינימלי של עסקות) מהווים ביטוח שכולנו משלמים עבור העסקות שעושים בכרטיס במרמה.

      הדגש של חברות האשראי הוא על יצירת חווית קניה קלה ככל האפשר ללקוח, גם במחיר פגיעה באבטחת המידע מכיוון שאת הכסף לכיסוי הרמאויות הם לוקחים – כן, מהכיס שלך. כל עוד העלות הזו נמוכה מספיק זה לא מזיז להם. אם באופן מעשי טפסי הנייר ינוצלו לרעה, הם יתנו לזה לקרות כמה זמן ואז יוציאו תקנה שאוסרת על כך. תוך מספר שנים התוכנה תתעדכן והבעיה תיפתר. אין להם שום לחץ.

      — אריק

  4. שלום רב,
    לאור הדברים שאתה מתאר כאן אנו מזמינים אותך לפנות אלינו, לקבל יעוץ ופתרונות לבעיות העולות בענייני הסליקה- גם אם לא מדובר בשירות שלנו
    נעמוד לשירותך- 03-6177766

    • תרגיש חופשי ליצור קשר איתי במייל ([email protected]). לצערי כבר השארתי אצלכם 2 הודעות (ושלישית לפני מס' דקות – משום מה אף אחד לא מכיר אותך 🙂 ) ועד כה לא נשמע שום קול ממכם..

  5. שלום לך חץ,
    חשוב למען הגילוי הנאות לומר בפתח דברי כי אני עובד בחברה שמפתחת מערכות לסליקת כרטיסי אשראי מזה שנים רבות.
    אחת הבעיות העיקריות היא, שחברות האשראי ושבא ( המסלקה היחידה הקיימת בישראל ) לא מוכנות עדיין לעמידה בתקן המאוד מחמיר הזה שניקרא PCI , לכן חשוב מאוד להגיד – אין כמעט אף חברה בארץ שאכן מסוגלת לעמוד בתקן, גם אלו שכתבו שכן. כל מערכות הסליקה בארץ מבוססות על מנוע הסליקה של שבא שנקרא אשראית וכל עוד המנוע שהוא לב המערכות לא מוכן לתקן אז אין לאף אחד תקן גם אם יגיד עד מחר.
    אנחנו למשל מפיצים מערכת שנקראת WEBEFT שהיא מערכת לסליקת כרטיסי אשראי, אנחנו לצערינו עדיין לא יכולים להסמיך את המערכות שלנו ב PCI אבל המערכת הזאת שיושבת אצל הלקוח מוכנה פיקס לכל הדרישות, בסיס הנתונים שלה לא מוצפן בכלל כי אנחנו יוצאים מתוך נקודת הנחה שהכל כיום ניתן לפריצה אז למה להתאמץ ? פשוט אין בבסיס הנתונים שום דבר שצריך להסתיר כי אין בו מספרי כרטיסי אשראי אלא רק 4 ספרות אחרונות וכו' – ניתן לבדוק אותה חופשי באתר התוכנה. http://www.webeft.com
    מקווה שקצת שפכתי אור על הנושא הכאוב הזה.

  6. חברת ג.ב פרימיום פיתחה ממשק סליקה בטכנולוגיה המתקדמת ביותר בשוק הסליקה ומותאמת
    לתקן PCI DSS
    כמו כן כ (PSP (payment service provider
    אנו יכולים לספק לך מערכת MPI וטוקוניזציה שיאפשר לך לחייב בהוראת קבע מבלי לשמור את פרטי האשראי במחשב שלך
    היתרון הגדול שלנו הוא מערכת דוחות אינטרנטית מאובטחת מוסמכת לתקן PCI DSS LEVEL 1
    אשר רשאית להציג מספר כרטיס אשראי מלא בזמן אמת ולפי דרישה
    כן זה לא טעות להציג מספר כרטיס אשראי מלא
    (ראה מאמר בנושא http://gbpremium.com/?p=122 )
    וכל זאת מפני שאנו חברת הסליקה היחידה בארץ אשר השקענו במערכת אבטחה ברמה בנקאית המאפשרת זאת .
    http://www.pfs.co.il

      • כן חץ יש לנו תעודה והיא מוצגת באתר שלנו
        אנחנו בין החברות הראשונות בארץ שמוסמכות לתקן מצורף לינק לתעודה
        http://www.pfs.co.il/pci_dss_certification.aspx
        כמו כן אנחנו מופיעים ברשימת המפיצים של שבא שעומדות בתקן
        http://www.shva.co.il/default.asp?catid={B1789023-61E1-42FA-AD63-0E25C9D4BB42}
        בברכה
        יריב עדין

        • חברים יקרים, אני מבין שמהות העניין לא ממש "הפילה את האסימון" אז אנסה ל"עזור לאסימון לרדת" אוסיף כמה מילים, אנא קראו את הגילוי הנאות בתגובה קודמת שלי.

          יש תעודה או אין תעודה זהו אלמנט ממש לא רלוונטי ואולי אף הוא זה שמהווה את שורש אי ההבנה הזאת.

          פתרון זה או אחר, אם הוא נשען על מערכת אשראית של שבא, ומי שמופיע באתר שבא כמפיץ הרי ברור שהמערכת שלו נשענת על אשראית. מכאן כל מה שלא יעשה לא יוכל להכשיר את המערכת שלו ולהסמיך אותה. אגב גם אם מסמיך זה או אחר הנפיקו לו תעודה ברור שהעניין נעשה כאקט מסחרי ולא אבטחתי שכן ברגע שמנוע המערכת, הרכיב המרכזי המפענח ומבצע את פעולות הסליקה הוא זה שלא מוסמך – די בכך.
          המערכת של שבא לא מוסמכת ולא קרובה להסמכה ומכאן שבמדינת ישראל לא יכול אף אחד לטעון שיש לו מערכת המוסמכת לתקן PCI אלא אם הוא לא מפיץ והמערכת שלו לא נשענת על אשראית (יצרן למשל או קוסם :))
          לא רק זאת, ברגע ששבא תעשה את הצעד ותצליח איך שהוא ומתי שהוא לעבור הסמכה המערכת של אותו מי שטען שהוא מוסמך אוטומטית מאבדת את תו ההסמכה שלה שכן באותו רגע שנגע בקוד שלו על מנת להתאימו למערכת החדשה של שבא (וכאן ברור שהשינוי יהיה חייב להיות דרמטי לעומת מה שפועל כיום) הרי בדיוק באותו רגע שמספר הגירסה שלו ישתנה כך תאבד לו היכולת לטעון שהוא מוסמך שכן התקן מפורשות מדגיש שהוא תלוי גירסה ושימו לב להדגשה זו שבעצם מקעקעת כל אופציה לכל טענה אחרת זולת ביצוע הסמכה מחודשת.

          לסיכום, מי שטוען שהמערכת שלו כעת מוסמכת טועה ומטעה (בלשון עדינה) את מי ששומע או קורא את דבריו.

          המלצתי הפשוטה היא פשוט להיכנס לכל מקום בו מופיע מפרט התקן ולקרוא את הפסקה הראשונה של ההקדמה (כן כן כבר שם הדברים מופיעים ובבירור רב) עד כדי כך שאני אישית השתתפתי בדיון על נושא זה בשבא עם האנשים הרלוונטיים ביותר לנושא והדיון הסתיים במה שנקרא "קול ענות חלושה"

          יום טוב ומאובטח לכולם

  7. צריך להיזהר מאוד בכל נושא כרטיסי האשראי, עוד עלולים להאשים את בעל העסק. יש אתר מצוין ברשת המאפשר למארגני אירועים לגבות תשלום על כרטיסים בצורה בטוחה. זהו פתרון מעולה מכיוון שכל נושא התשלום לא עובר דרך מארגן האירועים אלא דרך האתר עצמו. צריך לראות איך אפשר לתאם את השימוש באתר גם לבעלי עסקים, יכול להיות שאפשר גם לעשות שימוש בו ולהיעזר בו.
    בכלל יש המון באגים בכל מה שקשור לסליקה, חברות האשראי לא מספיק מבטחות את הנתונים, זה נושא פרוץ מאוד שיכול לגרום לנזקים רבים לבעלי העסקים, לחברות האשראי וכמובן ללקוחות. תחשבו על לקוח שפרצו לו לחשבון דרך העסק שלכם, לא משנה כמה תסבירו שאתם לא אשמים, הוא לא יחזור לקנות אצלכם.

  8. אתה יכול להזמין בדיקת חדירה (Penetration Test), מחברת אבטחת מידע ואת התוצאות לשלוח לאותה חברה של סליקה. הגוף שיכול להיות המבקר בעניין זה – בנק ישראל. הוא זה שקובע את התקנים למוסדות הפיננסים.

  9. אני הייתי ממליץ ללכת על קרדיט גארד שהם גם עומדים בתקני PCI DDS וגם מקצועיים בטירוף, לי אישית יש איתם ניסיון די יציב, התמיכה מעולה.

סגור לתגובות.