חגיגת כרטיסי האשראי ממשיכה

היום נודע כי הפורץ הסעודי פירסם עוד 11000 מספרי כרטיסי אשראי, וכבר המדיה הישראלית (וואלה, YNET) הספיקו לראיין את הבחור ו…איך לאמר… הוא לא ממש מצטיין באמירת אמת. הוא טען שהוא פירסם 400,000 כרטיסי אשראי. סטודנט בשם עופר שוורץ שחקר קצת את הנושא, הראה שמדובר ב-27000 כאשר מספרים רבים חוזרים על עצמם.

כמובן שכל החגיגה הזו עושה כאב ראש לחברות האשראי: לקוחות זועמים, שעות נוספות של עובדים, הריסת מוניטין ועוד – ואז מתראיין ישראל דוד, מנכ"ל כא"ל ומוציא אזהרה לממשלה: "ללא התערבות הרגולציה שתעמיד תקנים מחמירים ותפקח על האתרים – פרטיהם של מיליוני אזרחים בסכנה".

כשקראתי את הטקסט הזה, תהיתי על מה לכל הרוחות הוא מדבר. אנשים מתלוננים על זמן של 24-48 שעות שלוקח ל-DNS להתעדכן (טוב, זה מה שלוקח בארץ, עם שרתי ה-DNS הזבל של כל הספקי אינטרנט בישראל – ד"ש חם לבזק בינלאומי ולנטויז'ן!), אז אם תוסיף רגולציה, ובמיוחד אם נזכור את הבירוקרטיה והחלמאות הישראלית ששמה הולך לפניה – שום דבר טוב לא יצא מזה. מי בדיוק יפקח? על מה? אם היום אני רוצה להקים אתר מסחרי שיסלוק לי כרטיסי אשראי בארץ, אני יכול לסגור עניין בכמה דקות מול Paypal (בלי ניירת ובלי שיחה עם נציגות שמעודדות הטחה עצמית של הראש בקיר) ותוך עניין של ימים האתר יכול להיות למעלה מתחיל לקבל לקוחות.

אז מה יעזרו רגולטורים חוץ מלהאיט ולסבך כל דבר?

אדרבא, למי שיש את הכח ביד (טוב, לפחות חלקית, מאז שנכנסה Paypal לישראל באופן חצי רשמי) אלו חברות האשראי. הן יכולות לקבוע מי יקבל אישור סליקה ומי לא, ומי מחר יקבל עצירת סליקה עד שיעמוד בתקן PCI, אבל גם כאן חברות האשראי מעדיפות לגרור רגליים ולהחליט שרק ב-2013 תקן PCI יהיה הכרחי לסליקה. תחשבו על כך – אנחנו נמצאים בהתחלת 2012 ובמשך השנה הקרובה כל מיני פורצים יחגגו כי חברות האשראי זזות לאט. חברות אשראי יקרות, קבלו טיפ קטן: אפשר וצריך לחייב את אותן חברות שסולקות כרטיסים (דרך האינטרנט ולאתרי אינטרנט, לא דיברתי על מסופים) לעמוד בתקן תוך 3 חודשים או להסתכן בפסילת רשיון סליקה, ובהזדמנות גם לטפל בחברה שעדיין משקרת ללקוחותיה ומציינת שיש לה PCI למרות שאין לה (מנהלי מחלקת הבטחון בחברות האשראי שקוראים בלוג זה מוזמנים לחפש את המייל ששלחתי אליהם לפני מספר חודשים עם הוכחות), ואגב, אני כמעט בטוח לגבי 2 חברות גדולות אחרות שסולקות כרטיסים עם חיבור לשב"א – שהנתונים שלהן לא מוצפנים. אני מטבע הדברים ועל מנת שלא לחטוף תביעת לשון הרע – לא מפרסם את שמות החברות.

עוד בענייני כרטיסי אשראי: מישהו החליט לתבוע תביעה יצוגית גם את ויזה כא"ל, את דובל בניית אתרים, ואת איזי פיימנט. הסכום? "קטן" – רק 13 מיליארד שקל. קצת מוזר לי לראות את רשימת הנתבעים: הסעודי לא פרץ לאיזי-פיימנט, הוא פרץ לדובל. לתבוע את כא"ל על רשלנות? לזה אני קורא Long shot או איך אומר מורגן פרימן ב-"האביר האפל" – Good luck with that..

כל איש סיסטם שמתחזק שרתים (ולא חשוב איזו מערכת הפעלה מדובר): אם תעשה חצי עבודה בתיקון תקלה, זה יצוץ מחדש ובצורה הרבה יותר גרועה, וזה בדיוק מה שקרה לחברות האשראי: שנים שנתנו בצורה עיוורת אישורי סליקה בלי שום בדיקה (למעט בדיקה מסכנה של SSL) מה קורה עם מספרי כרטיסי האשראי לאחר הסליקה ומי בכלל בודק ומשגיח על מדיניות השמדה ו/או שמירת הנתונים – אז הנה, זה חזר לנשוך אותן בישבן, ובחור סעודי משועמם בן 19 מראה ל-3 חברות אשראי גדולות בארץ מה המחיר של הרשלנות הפושעת שלהן.

והערה לבעלי עסקים: הגיע הזמן לעשות חושבים לגבי כמה דברים בקשר לאתר שלכם. על כך – בפוסט הבא שיתפרסם בסוף שבוע זה.

כמה מילים על גניבת מספרי אשראי

כל מי שלא בילה את הלילה האחרון מתחת לאיזה סלע בוודאי כבר שמע על הפריצה של פורצים סעודים (ריבונו של עולם – "האקרים" אלו אנשים שמשנים את הקוד "קראקרים" – אלו הם האנשים שפורצים, כרגיל בעיתונות טעו) שפרצו לאתר מסויים ומשם פרצו לאתר אחר וגנבו משם פרטים של 400,000 כרטיסי אשראי. רוב פרטי האשראי היו כבר פגי תוקף, אבל עדיין נשארו כמה אלפי כרטיסים תקינים.

כרגיל, כשפורצת שערוריה, כולם מאשימים אחד את השני: חברות האשראי מאשימות את חברות האחסון, חברות האחסון מאשימות את הלקוחות שלקחו אצלם אחסון, הלקוחות מאשימים את חברות האחסון ואני משער שישנם עוד כמה גורמים בדרך.

אז תרשו לי כאדם פרטי שאבטחת מידע סופר חשובה לו על כך להצביע בבירור על האשמים: למעט הלקוחות הפרטיים (הגולשים) כולם אשמים בצורה זו או אחרת. ברשותכם, אפרט:

חברות כרטיסי האשראי

עד לפני מספר חודשים, יכלת לאחסן את האתר המסחרי שלך באחסון משותף, יחד עם הלקוחות הצעירים שמריצים שרתי משחקים, Warez ועוד שרתים שממש מהווים מטרה לפריצה, ומבחינת חברת האשראי כל מה שהיית אמור לעשות זה לרכוש תעודת SSL בכמה עשרות דולרים (או פחות), הפקידה בחברת האשראי היתה נכנסת לאתר שלך כדי לבצע קניית דמה, מוודאת שיש איזה מנעול כלשהו בדפדפן והיית צריך להבטיח שאתה תהיה "ילד טוב" ושתצפין את נתוני האשראי שלך – וזהו, קיבלת מספר סולק.

שוחחתי בעבר עם אחד מאנשי האבטחה של חברות האשראי והדגמתי לו כמה הדבר מגוחך לחלוטין: הרמתי אתר דמה של מוצרים למבוגרים, וקישרתי את המוצרים קישור עקיף לחנות פורנו שהסליקה שלה היתה מה שסטנדרטי באתרי פורנו: CCBill, כך שמבחינתה כשהיא היתה לוחצת על מוצר ועושה Checkout, היא היתה מגיעה לסליקה של CCBill שעליו כמובן יש מפתח SSL. העלתי את איש האבטחה על הקו, עשינו שיחת ועידה, ביקשתי שישתוק ויראה אם אני מקבל אישור או לא.

לקח בערך דקה אחת לקבל אישור. אפילו לא קניתי תעודת SSL ומבחוינת אותה חברת אשראי אני יכול לסלוק כרטיסים בלי שום בעיה ואף אחד לא בודק לי את הקוד, את ה-DB ושום דבר אחר. מבחינתן, כל עוד אני משלם דמי חבר ומשתמש בשרותיהן, אין שום בעיה, ואף אחד לא יבדוק אם אני מאחסן את פרטי כרטיס האשראי כקובץ טקסט, CSV פשוט או כל פורמט שילד בן 6 יכול לקרוא.

רק לאחרונה החלו חברות האשראי להתעקש על תקן PCI, אבל אם אתם חושבים שזה יעזור, טעות בידכם ותיכף ארחיב על כך.

חברות הסליקה

אין לי מושג אם טרנזילה מוגנת באמת או לא (אני מאמין שכן), אבל בעבר הוכחתי פה שחור על גבי אתר איך חברה שטוענת שהמידע של הלקוחות מוצפן (ושיש לה תקן PCI) משקרת במצח נחושה ללקוחותיה וללקוחות פוטנציאלים, ואני די בטוח שהם לא היחידים, ומכיוון שאותה חברה (ומספר חברות אחרות) מציעות אפליקציות שמבוססות על מיקרוסופט Access, הפורץ לא יצטרך לעבוד קשה מדי כדי לפרוץ קבצי MDB כי בברירת המחדל הם אינם מוצפנים.

חברות אחסון האתרים

אין לי רצון להאשים חברת אחסון מסויימת, אבל אני חזרתי בבלוג העסקי של העסק שלי שוב ושוב על אותה נקודה: אתה רוצה אבטחה ברמה רצינית? אחסון משותף אינו פתרון ואני אומר את זה כאחד שמגדיר את השרתים האלו. מבחינה טכנית, בסופו של דבר מה שמבדל לקוח אחד מלקוח שני זה בסך הכל UID ו-GID באחסון המשותף וזהו. האבטחה באחסון משותף (ולא חשוב מי הספק) אינה יכולה להיות מקסימלית (כמו בשרת VPS או שרת יעודי) בגלל כל מיני גורמים שצריך להתחשב בהם כדי לתת ללקוח אחסון משותף. לצערי חברות רבות המוכרות שרותי אחסון משותף (כולל בוני אתרים רבים שמוכרים את זה כ"ריסלר" בחבילות שלהם) מבטיחות דברים שאי אפשר לקיים ומי שמבטיח "אבטחה מקסימלית" על אחסון משותף – רק מטעה את לקוחותיה.

בוני אתרים

במדינת ישראל ישנם הרבה מאוד שמציעים שרותי בניית אתרים (או "בניית אתרים" כשמדובר על התקנת ג'ומלה/וורדפרס/דרופל, עיצוב, 4-5 שינויים ב-CSS וזהו – הוא "בונה אתרים"), אך לרבים מהם אין מידע כלל או מידע מספק על אבטחת האתר שלהם, כי מי מבוני האתרים מספיק אמיץ לאמר ללקוח "תשמע, אני לא הכי מומחה באבטחת מידע ולכן צריך לשכור מישהו שיעבור על הקוד ובסיס הנתונים ולאבטח את הכל"? אף אחד, אז בעל האתר חושב שהוא מאובטח בשעה שהוא פשוט לא..

אני רוצה לאמר משהו נוסף על חברות האשראי בארץ.

חברות האשראי נסמכות עכשיו על ה-דבר: תקן PCI לאבטחת מידע של כרטיסי אשראי. יש לי חדשות בשבילכם: זה לא יעזור. תמיד יהיה המתכנת הפוץ שלא מבין בסולאריס או לינוקס והשאיר את הסקריפט שמחייב את הלקוחות בחיוב החודשי עם הרשאות 666 ושהסיסמא ל-DB בתוך הסקריפט (תאמינו לי, ראיתי את זה ולא פעם אחת!) אז פורץ שימצא את הסקריפט הזה ולא חשוב כמה הצפנות קשיחות יהיו לבסיס הנתונים – יוכל בקלות לשאוב את הנתונים, לארוז אותם בקובץ zip ולהעביר אותם לעצמו. לא מאמינים? תנחשו איך גנבו לחברת Stratfor את המידע (וכן, הם עברו תקן PCI) עם מספרי כרטיסי אשראי בערב חג המולד…

לצערי הרב, חברות האשראי בארץ עדיין עובדות כאילו הן נמצאות בשנות ה-90, וכשמסתכלים על Paypal בחו"ל לשם השוואה, זה נראה כאילו מדובר במסע בזמן. ישראכרט לדוגמא, ישמחו לתת ללקוחותיהם Isracard Web, כרטיס וירטואלי עם 16 ספרות, אבל הם לא מצמידים את מספר הכרטיס לחשבון, אלא דורשים שהלקוח יפקיד סכום מסויים והסכום הזה "נתקע" באותו כרטיס וירטואלי. אם שמת 600 שקל והשתמשת ב-300, אז 300 תקועים בכרטיס מבלי שתוכל לעשות שימוש אחר זולת שימוש באותו כרטיס וירטואלי. מה אם בקניה הבאה תצטרך 380 במקום 300? תעבור את התהליך מחדש. פתרון מטומטם או לא?

גם כא"ל ולאומי קארד לא יוצאים חכמים בכל העסק. מדוע שאותן חברות לא יציעו לחברות מעין אחסון פרטי של דפי אתר סליקה ובכך כל המידע על הכרטיסים ישאר עדיין במקום בטוח יחסית (חברות האשראי עצמן)? הרי לא מדובר פה ב"קטילה" של הסולקים האחרים, אפשר לתמחר את זה במחיר שיהיה פחות או יותר אותו דבר, וכך הלקוח לא יצטרך לשבור את הראש בין הסולק, שב"א, חברת אשראי והלקוחות הגולשים. אני לא שמעתי את חברות האשראי עושות או אפילו מדברות על כך.

ובכלל, היכן אותם מערכות "ניהול סיכון" של חברות האשראי? איך לא נדלקו הנורות האדומות שכרטיסים ישראליים מבקשים אישורים לעסקאות שמזין מספר הכרטיס מגיע מ-IP בסעודיה או במדינות אחרות בשעה שרוב מוחלט של העסקות האלו נעשה מ-IP ישראלי?

ועוד נקודה שחשובה לכם הקוראים שחברות האשראי לא כל כך מהר יספרו לכם: אם האקר ערבי גנב את מספר כרטיס האשראי שלכם והשתמש בו לפני שחברת האשראי חסמה את הכרטיס, אתם לא תקבלו את כספכם חזרה אם לא תבדקו את החשבונות שלכם ותציינו בפני הנציגים (שאולי יענו לכם יום אחד, כרגע יש המון ניתוקים.. אחלה מערכות טלפוניה!!) עסקאות שלא ביצעתם. במילים אחרות – כנסו מהר לאתרים של חברת האשראי שלכם ובדקו עסקאות.

מה ניתן לעשות להבא? כמה דברים פשוטים:

  • חשבון Paypal (מישהו יודע אם כא"ל גמרו את משחקי העמלות כפולות מול Paypal?) – פעם אחת מזינים את מספר הכרטיס, עוברים תהליך אישור כרטיס ובפעם הבאה שאתם רוכשים, תבחרו באופציה של Paypal. את העמלה אתם לא משלמים, אלא הסוחר משלם. מספר הכרטיס שלכם לא עובר לשום סוחר, וניתן גם להתחרט ולהתלונן אם יש לכם בעיה עם עיסקה. אני חייב לציין לטובה את השרות בעברית שלהם בטלפון.
  • אם אתם צריכים לעשות עיסקאות עם אתרים קטנים או כאלו שנמצאים במזרח ואינכם יודעים את טיבם, עדיף להשתמש בכרטיס נטען (שניתן לרכוש בדואר ולהטעין אותו עד 1000 שקל, אולי ויזה כא"ל יתעוררו יום אחד ויאפשרו הטענות חוזרות). במקרים כאלו גם אם משתמשים במספר הזה, הנזק אינו רב.
  • מערכות אתרי האשראי התקדמו טיפה לכיוון שנת 2012 ומאפשרות לראות עיסקאות שנעשו ביומיים שלושה האחרונים (מדוע טיפה? בארה"ב אתה רואה את העיסקה עם הפרטים בחשבון האשראי שלך מיידית, אצלנו בארץ כנראה חברות האשראי עובדות עם קומודור 64 כנראה), ולכן מומלץ אחת לשבוע להסתכל ברשימת העסקאות ולאתר עסקאות חשודות.
  • בעלי אתרים – כן, ברוב המקרים בונה האתר שלכם מבין באבטחת מידע כמו שאני מבין בהטסת חלליות. תתחילו לחפש אנשים שמבינים היטב באבטחת קוד (SRO? אתה כאן? תשאיר פרטים שלך בטוקבק ולינק לאתר שלך) שיעברו על האתר שלכם ויחסמו דברים פתוחים, יקשיחו סיסמאות וגישות ועוד. אחרי הכל, אתם לא רוצים לראות את הפרטים הסודיים שלכם בידי המתחרים שלכם.

ולבסוף – אולי, אולי יבינו בכנסת ששום מאגר מידע אינו חסין בפני פריצה ובמיוחד לא המאגר הביומטרי שמתחיל לקום! (אדרבא, במקרה של הממשלה עם ערימות קבלני המשנה שקל לשחד אותם בבמבה ובפחית קולה) והרעיון כולו דבילי, אולי אם היו מקשיבים לעדי שמיר (ה-S ב-RSA, גוף מאוד מוכר באבטחת מדי – זה Shamir), אז יכול להיות שיש סיכוי שאפשר לעצור את השגעון הזה בראשות מאיר שטרית. למה ללכת רחוק? רק לפני חודשיים ישיבה החליטה לבדוק אם התלמידים שלה עשו עוון רציני ולמדו (השם ישמור) שיעורי נהיגה. מהיכן המידע נראה לכם?

כמה מילים על תשלומים דיגיטליים

כעסק המציג ומוכר שרותי אינטרנט שונים, אני מעדיף לעבוד באמצעים דיגיטליים ופחות עם ניירת. במקום חשבוניות וקבלות עשויות מנייר, עדיף לעבוד עם חשבוניות וקבלות דיגיטליות שיוצאות כ-PDF. במקום להטריח את הלקוח לשלוח פקסים להעברות בנקאיות או לשלוח אותו לעמדת "אל תור" להפקיד צ'ק, עדיף העברות באינטרנט ותשלומים בכרטיסי אשראי. רוב המתחרים גם עברו לפתרונות דיגיטליים כאלו ואחרים.

אבל אז גם מתגלות כל מיני הפתעות, חלקן קשורות לפחדים למעבר לעולם הדיגיטלי וחלקן קשורות לבעיות תמוהות, שברשותכם אפרט.

אתחיל עם חתימות דיגיטליות: כל עצמאי, עסק קטן/בינוני/גדול צריכים להכין את עצמם לכך שבשנה הבאה הכל יעשה דרך האינטרנט ועם דרישת חתימות דיגיטליות. השנה חייבים לעשות זאת בעלי העסקים שיש להם מחזור של 4 מיליון שקלים ומעלה, אך משנה הבאה – כולם צריכים לעשות זאת.

העסק שלי משתמש בשרות של invoice4u. המחירים שלהם נוחים, המערכת שלהם מאוד קלה ונוחה והמחירים שלהם לא בשמיים (ישנה אגב מערכת חלופית חינמית – ifreelance). אפשר להוציא בקלות חשבוניות, קבלות, זיכויים, הצעות מחיר ועוד.

הכל טוב ויפה, עד שלפני שבוע אחד הלקוחות שלי שלח אלייי אימייל עם אבחנה מעניינת: החתימה הדיגיטלית לא ממש לגטימית (התמונה משמאל). זה נראה לי מאוד מוזר, בהתחשב בכך שהאתר של invoice4u מדגיש כמה החתימות שלו אמיתיות ונכונות. הרמתי טלפון אל החברה והם הודיעו שיחזרו אליי. זה היה לפני שבוע, עד כה לא חזרו אליי. כשתהיה תשובה, אני מבטיח לעדכן אתכם.

ומכאן – לכרטיסי אשראי.

אם יום אחד חברות אשראי כמו ויזה-כא"ל, לאומי קארד, וישראכרט לא יבינו לאן נעלמו להם כל הלקוחות העושים עסקאות ברשת, הם יוכלו למצוא אותם אצל המתחרה הגדול מחו"ל, Paypal. מדוע? מבדיקה שלי מתברר כי כל חברות האשראי מפלים לרעה עסקים הסולקים דרך האינטרנט. ישראכרט לדוגמא נותנים את הכסף רק לאחר 30 יום + הימים עד לתאריך הזיכוי. ויזה כא"ל ולאומי קארד דורשות שתיהן 10,000 שקלים ערבות בנקאית, גם אם אתה סולק בסכומים של מאות שקלים בחודש (מעניין ששתי החברות טוענות שהן צריכות את הערבות בגלל התאוריה שלא תספק את המוצר והן יצטרכו להחזיר את הכסף. כשמנסים להסביר להן שהלקוח יכול לקבל את המוצר עוד לפני שהוא משלם, זה לא משכנע אותן).

לעומת זאת, ב-Paypal החיים הרבה יותר קלים: אפשר להנפיק חשבוניות (אם כי אינני יודע כמה החשבוניות הללו מוכרות ע"י רשויות המס בארץ. בכל מקרה אני מפיק גם ב-invoice4u חשבונית מקור) ולדרוש את התשלום והוא מופיע לך מיידית בחשבון ב-Paypal. תרצה להוציא את הכסף? תוך 3-5 ימים תקבל אותו ישירות לחשבון הבנק הישראלי שלך (או לכל חשבון בעולם, לפחות במדינות ש-Paypal תומכת), והכי חשוב: Paypal יותר זולה מחברות האשראי, כשלוקחים בחשבון את דמי החבר ושאר עמלות שחברות האשראי גובות מהעסק כל חודש. החסרון היחיד של Paypal כשזה מגיע לסליקה, הוא שאינך יכול לסלוק כרטיסים בעלי 8 ספרות כמו ישראכרט מקומי (יש לכך פתרון לא כל כך זול – הלקוח יכול להיכנס לאתר ישראכרט ולהנפיק לעצמו מספר אשראי "ישראכרט Web", אך אז מדובר על הקצאת אשראי שיורדת מקו האשראי ואינה ניתנת להחזרה לקו האשראי, כך שאם יצרת כרטיס וירטואלי עם 1000 שקלים ושילמת על מוצר ברשת 600 שקלים, לא תוכל להחזיר את ה-400 שקלים לקו אשראי שלך ותצטרך למצוא מה לעשות עם אותם 400 שקלים).

וכך יוצא כאן מצב שעקב עודף חשש מצד חברות האשראי הישראליות, "הרגל" של גביית סכומים נכבדים (שלא תמיד מוצדקים), המתחרה החדש בסליקה נכנס בתנאים מאוד נוחים לשוק, וכל מה ש-Paypal צריכים לעשות זה לפרסם את המחירים שהם גובים מול המתחרים. לא יהיה קשה כל כך לשכנע את העסקים המבוססים על מכירות ברשת לעבור (אפילו אקסלוסיבית) לעבוד מול Paypal.

בחודש שעבר חזיתי במחזה מעניין בחשבון העסקי: חיוב של 582 שקלים מחברת ישראכרט. על שום מה? על שום הצטרפות כעסק לישראכרט. 450 שקלים הצטרפות ועוד "דמי חבר" של 132 שקלים, שכמובן ירדו כל חודש, ללא קשר לכמות העסקאות שתסלוק (לשם השוואה: Paypal לא גבו ממני שקל בהצטרפות כחשבון עסקי). הבוקר חתמתי את המסמכים לסיום הרומן העסקי שלי עם ישראכרט. ב-Paypal סך כל העמלות על עסקאות לא מגיע אפילו למחצית מכך. תודה ישראכרט, אך לא תודה.