סליקת כרטיסים והאבטחה – שלא קיימת

בשבוע שעבר חתמתי חוזה במסגרת העסק שלי לקבל כרטיסי אשראי ללקוחות, והוספתי גם שיפור ללקוחות לגבי תאריכי החיוב (אפשר לקרוא על כך בהרחבה כאן).

עד כאן הכל טוב ויפה, אך מה לעשות שעבדכם הנאמן Geek בנשמתו, ואני אוהב לבדוק איך דברים עובדים. יום שבת הגיע, היה משעמם אז… בוא נבדוק קצת את התוכנה שהתקנתי עבור סליקת כרטיסים של חברה מסויימת (לא אציין פרטים של החברה, אני לא כל כך מחפש תביעות).

התחלתי להסתכל על התוכנה ולבדוק תלויות שלה וגיליתי שהיא עובדת עם MDB, כלומר זו תוכנה שנכתבה עם מיקרוסופט אקסס. נו טוב, גם זה קורה.

לקחתי קובץ MDB והחלטתי לפתוח אותו ב-Hex Editor. הקובץ נפתח בלי בעיה. אוקיי, בוא נריץ חיפוש מחרוזות טקסט. כל מספרי האשראי של ויזה בארץ מתחילים ב-4580 אז בוא נחפש 4580 ונראה אם נמצא משהו.

המממ….. (לחצו על התמונה לקבלת גירסה מוגדלת)

card details-in-hex-editor

מה אתם יודעים! המספר נמצא גלוי לכל, כולל תוקף ושם מלא של המנוי! (במקרה הזה אני הכנסתי למערכת מספר כרטיס פיקטיבי על שם .. החתולה שלי, את השם תראו שם).

עכשיו מבינים שיש פה חור אבטחה ענק! התוכנה מבצעת את הסליקה עם מערכת של שב”א דרך האינטרנט וכך תאורתית אפשר לפרוץ למכונת ה-Windows (כולנו יודעים כמה Windows “מאובטח”!). כל מה שהפורץ צריך לעשות זה לפרוץ למכונה, להוריד את קובץ ה-MDB (לא צריך לחפש אותו יותר מדי, הוא נמצא בתיקיה תחת שם התוכנה שנמצאת ישירות על ה- :C).

לאחר גילוי זה, התקשרתי הבוקר לאותה חברה ודיברתי עם הנציגה. שאלתי אותה אם יש להם באמת תקן PCI כמו שמופיע באתר שלהם. תשובתה “זה בדרך”. סיפרתי לה מה גיליתי והיא אוטומטית הכחישה שזה יכול להיות “מה פתאום! הכל מוצפן!”. אחלה הצפנה, לא?

הכל מוצפן הא? חיברתי אותה ל-VNC, פתחתי מולה את עורך ה-HEX והראתי לה מה שאתם רואים. תגובתה? “אני לא מכירה את התוכנה שאתה מראה לי כרגע”. אה, בגלל שהיא לא מכירה מה זה עורך HEX, הטיעון שלי לא נכון.

החלטתי ליצור קשר עם חברת שב”א, שדרכה אותה חברה סולקת. ענה לי בחור שאפשר לתמצת את תשובתו ל”זו לא בעיה שלנו, פנה לחברות אשראי”. פניתי לחברת ישראכרט, וכבר אחרי 30 דקות שחזרתי 10 פעמים על הסבר פשוט של מה שאני מנסה לאמר, הצליחו להעביר אותי למישהי במחלקת הבטחון. שלחתי אליה אימייל עם כל הפרטים, כולל שם החברה.

תמהני, אם זו אבטחת המידע של אותה חברת סליקה, אני מפחד לדמיין מה קורה אצלם בשרתים ומה יקרה אם יפרצו לשם מחר. מה שמפתיע אותי זו האדישות של כל הגורמים כמו שב”א וישראכרט (לאומי קארד ו-ויזה כא”ל אמרו שיחזרו אליי. הם עדיין לא חזרו).

מה ההמלצות שלי? 2 המלצות פשוטות:

  • חברה טוענת שיש לה PCI? בקשו מסמך המראה את ה-PCI שלהם.
  • אם יש לכם לקוח שעובד עם מערכת סליקה שמתחברת למודם או סולקת לאינטרנט (לא דרך API וובי אלא ממש תוכנה מותקנת במחשב), בדקו אם היא משתמשת ב-Access, ובדקו את קבצי ה-MDB שלה עם חיפוש כמו 4580. אם מצאתם מספרים גלוים, כדאי שתחשבו במהירות על אלטרנטיבה.

עצוב למצוא שבשנת 2011 גם אבטחה של כרטיסי אשראי נעשית בשיטת ה”יהיה בסדר”.

באשר לעסק שלי, כמו שציינתי בעבר: ההגינות היא הדבר הכי חשוב לי. יכלתי לכתוב את הפוסט הזה (או לא לכתוב), להבטיח ללקוחות ש”הכל בסדר” ולהשתמש במערכת הזו, אבל אני מעדיף להיות הגון ולספר על המערכת הזו וכשליה (אגב, אף מספר כרטיס אשראי של לקוח לא הוכנס אליה והתוכנה הוסרה) ולעבור ל-Paypal. אינני יודע מה המתחרים עושים, ולכן כדאי לבדוק (אם יש לך מנוי אצל המתחרים) מי הסולק שלהם ולספר להם על העניין.