חגיגת כרטיסי האשראי ממשיכה

היום נודע כי הפורץ הסעודי פירסם עוד 11000 מספרי כרטיסי אשראי, וכבר המדיה הישראלית (וואלה, YNET) הספיקו לראיין את הבחור ו…איך לאמר… הוא לא ממש מצטיין באמירת אמת. הוא טען שהוא פירסם 400,000 כרטיסי אשראי. סטודנט בשם עופר שוורץ שחקר קצת את הנושא, הראה שמדובר ב-27000 כאשר מספרים רבים חוזרים על עצמם.

כמובן שכל החגיגה הזו עושה כאב ראש לחברות האשראי: לקוחות זועמים, שעות נוספות של עובדים, הריסת מוניטין ועוד – ואז מתראיין ישראל דוד, מנכ"ל כא"ל ומוציא אזהרה לממשלה: "ללא התערבות הרגולציה שתעמיד תקנים מחמירים ותפקח על האתרים – פרטיהם של מיליוני אזרחים בסכנה".

כשקראתי את הטקסט הזה, תהיתי על מה לכל הרוחות הוא מדבר. אנשים מתלוננים על זמן של 24-48 שעות שלוקח ל-DNS להתעדכן (טוב, זה מה שלוקח בארץ, עם שרתי ה-DNS הזבל של כל הספקי אינטרנט בישראל – ד"ש חם לבזק בינלאומי ולנטויז'ן!), אז אם תוסיף רגולציה, ובמיוחד אם נזכור את הבירוקרטיה והחלמאות הישראלית ששמה הולך לפניה – שום דבר טוב לא יצא מזה. מי בדיוק יפקח? על מה? אם היום אני רוצה להקים אתר מסחרי שיסלוק לי כרטיסי אשראי בארץ, אני יכול לסגור עניין בכמה דקות מול Paypal (בלי ניירת ובלי שיחה עם נציגות שמעודדות הטחה עצמית של הראש בקיר) ותוך עניין של ימים האתר יכול להיות למעלה מתחיל לקבל לקוחות.

אז מה יעזרו רגולטורים חוץ מלהאיט ולסבך כל דבר?

אדרבא, למי שיש את הכח ביד (טוב, לפחות חלקית, מאז שנכנסה Paypal לישראל באופן חצי רשמי) אלו חברות האשראי. הן יכולות לקבוע מי יקבל אישור סליקה ומי לא, ומי מחר יקבל עצירת סליקה עד שיעמוד בתקן PCI, אבל גם כאן חברות האשראי מעדיפות לגרור רגליים ולהחליט שרק ב-2013 תקן PCI יהיה הכרחי לסליקה. תחשבו על כך – אנחנו נמצאים בהתחלת 2012 ובמשך השנה הקרובה כל מיני פורצים יחגגו כי חברות האשראי זזות לאט. חברות אשראי יקרות, קבלו טיפ קטן: אפשר וצריך לחייב את אותן חברות שסולקות כרטיסים (דרך האינטרנט ולאתרי אינטרנט, לא דיברתי על מסופים) לעמוד בתקן תוך 3 חודשים או להסתכן בפסילת רשיון סליקה, ובהזדמנות גם לטפל בחברה שעדיין משקרת ללקוחותיה ומציינת שיש לה PCI למרות שאין לה (מנהלי מחלקת הבטחון בחברות האשראי שקוראים בלוג זה מוזמנים לחפש את המייל ששלחתי אליהם לפני מספר חודשים עם הוכחות), ואגב, אני כמעט בטוח לגבי 2 חברות גדולות אחרות שסולקות כרטיסים עם חיבור לשב"א – שהנתונים שלהן לא מוצפנים. אני מטבע הדברים ועל מנת שלא לחטוף תביעת לשון הרע – לא מפרסם את שמות החברות.

עוד בענייני כרטיסי אשראי: מישהו החליט לתבוע תביעה יצוגית גם את ויזה כא"ל, את דובל בניית אתרים, ואת איזי פיימנט. הסכום? "קטן" – רק 13 מיליארד שקל. קצת מוזר לי לראות את רשימת הנתבעים: הסעודי לא פרץ לאיזי-פיימנט, הוא פרץ לדובל. לתבוע את כא"ל על רשלנות? לזה אני קורא Long shot או איך אומר מורגן פרימן ב-"האביר האפל" – Good luck with that..

כל איש סיסטם שמתחזק שרתים (ולא חשוב איזו מערכת הפעלה מדובר): אם תעשה חצי עבודה בתיקון תקלה, זה יצוץ מחדש ובצורה הרבה יותר גרועה, וזה בדיוק מה שקרה לחברות האשראי: שנים שנתנו בצורה עיוורת אישורי סליקה בלי שום בדיקה (למעט בדיקה מסכנה של SSL) מה קורה עם מספרי כרטיסי האשראי לאחר הסליקה ומי בכלל בודק ומשגיח על מדיניות השמדה ו/או שמירת הנתונים – אז הנה, זה חזר לנשוך אותן בישבן, ובחור סעודי משועמם בן 19 מראה ל-3 חברות אשראי גדולות בארץ מה המחיר של הרשלנות הפושעת שלהן.

והערה לבעלי עסקים: הגיע הזמן לעשות חושבים לגבי כמה דברים בקשר לאתר שלכם. על כך – בפוסט הבא שיתפרסם בסוף שבוע זה.

כמה מילים על תשלומים דיגיטליים

כעסק המציג ומוכר שרותי אינטרנט שונים, אני מעדיף לעבוד באמצעים דיגיטליים ופחות עם ניירת. במקום חשבוניות וקבלות עשויות מנייר, עדיף לעבוד עם חשבוניות וקבלות דיגיטליות שיוצאות כ-PDF. במקום להטריח את הלקוח לשלוח פקסים להעברות בנקאיות או לשלוח אותו לעמדת "אל תור" להפקיד צ'ק, עדיף העברות באינטרנט ותשלומים בכרטיסי אשראי. רוב המתחרים גם עברו לפתרונות דיגיטליים כאלו ואחרים.

אבל אז גם מתגלות כל מיני הפתעות, חלקן קשורות לפחדים למעבר לעולם הדיגיטלי וחלקן קשורות לבעיות תמוהות, שברשותכם אפרט.

אתחיל עם חתימות דיגיטליות: כל עצמאי, עסק קטן/בינוני/גדול צריכים להכין את עצמם לכך שבשנה הבאה הכל יעשה דרך האינטרנט ועם דרישת חתימות דיגיטליות. השנה חייבים לעשות זאת בעלי העסקים שיש להם מחזור של 4 מיליון שקלים ומעלה, אך משנה הבאה – כולם צריכים לעשות זאת.

העסק שלי משתמש בשרות של invoice4u. המחירים שלהם נוחים, המערכת שלהם מאוד קלה ונוחה והמחירים שלהם לא בשמיים (ישנה אגב מערכת חלופית חינמית – ifreelance). אפשר להוציא בקלות חשבוניות, קבלות, זיכויים, הצעות מחיר ועוד.

הכל טוב ויפה, עד שלפני שבוע אחד הלקוחות שלי שלח אלייי אימייל עם אבחנה מעניינת: החתימה הדיגיטלית לא ממש לגטימית (התמונה משמאל). זה נראה לי מאוד מוזר, בהתחשב בכך שהאתר של invoice4u מדגיש כמה החתימות שלו אמיתיות ונכונות. הרמתי טלפון אל החברה והם הודיעו שיחזרו אליי. זה היה לפני שבוע, עד כה לא חזרו אליי. כשתהיה תשובה, אני מבטיח לעדכן אתכם.

ומכאן – לכרטיסי אשראי.

אם יום אחד חברות אשראי כמו ויזה-כא"ל, לאומי קארד, וישראכרט לא יבינו לאן נעלמו להם כל הלקוחות העושים עסקאות ברשת, הם יוכלו למצוא אותם אצל המתחרה הגדול מחו"ל, Paypal. מדוע? מבדיקה שלי מתברר כי כל חברות האשראי מפלים לרעה עסקים הסולקים דרך האינטרנט. ישראכרט לדוגמא נותנים את הכסף רק לאחר 30 יום + הימים עד לתאריך הזיכוי. ויזה כא"ל ולאומי קארד דורשות שתיהן 10,000 שקלים ערבות בנקאית, גם אם אתה סולק בסכומים של מאות שקלים בחודש (מעניין ששתי החברות טוענות שהן צריכות את הערבות בגלל התאוריה שלא תספק את המוצר והן יצטרכו להחזיר את הכסף. כשמנסים להסביר להן שהלקוח יכול לקבל את המוצר עוד לפני שהוא משלם, זה לא משכנע אותן).

לעומת זאת, ב-Paypal החיים הרבה יותר קלים: אפשר להנפיק חשבוניות (אם כי אינני יודע כמה החשבוניות הללו מוכרות ע"י רשויות המס בארץ. בכל מקרה אני מפיק גם ב-invoice4u חשבונית מקור) ולדרוש את התשלום והוא מופיע לך מיידית בחשבון ב-Paypal. תרצה להוציא את הכסף? תוך 3-5 ימים תקבל אותו ישירות לחשבון הבנק הישראלי שלך (או לכל חשבון בעולם, לפחות במדינות ש-Paypal תומכת), והכי חשוב: Paypal יותר זולה מחברות האשראי, כשלוקחים בחשבון את דמי החבר ושאר עמלות שחברות האשראי גובות מהעסק כל חודש. החסרון היחיד של Paypal כשזה מגיע לסליקה, הוא שאינך יכול לסלוק כרטיסים בעלי 8 ספרות כמו ישראכרט מקומי (יש לכך פתרון לא כל כך זול – הלקוח יכול להיכנס לאתר ישראכרט ולהנפיק לעצמו מספר אשראי "ישראכרט Web", אך אז מדובר על הקצאת אשראי שיורדת מקו האשראי ואינה ניתנת להחזרה לקו האשראי, כך שאם יצרת כרטיס וירטואלי עם 1000 שקלים ושילמת על מוצר ברשת 600 שקלים, לא תוכל להחזיר את ה-400 שקלים לקו אשראי שלך ותצטרך למצוא מה לעשות עם אותם 400 שקלים).

וכך יוצא כאן מצב שעקב עודף חשש מצד חברות האשראי הישראליות, "הרגל" של גביית סכומים נכבדים (שלא תמיד מוצדקים), המתחרה החדש בסליקה נכנס בתנאים מאוד נוחים לשוק, וכל מה ש-Paypal צריכים לעשות זה לפרסם את המחירים שהם גובים מול המתחרים. לא יהיה קשה כל כך לשכנע את העסקים המבוססים על מכירות ברשת לעבור (אפילו אקסלוסיבית) לעבוד מול Paypal.

בחודש שעבר חזיתי במחזה מעניין בחשבון העסקי: חיוב של 582 שקלים מחברת ישראכרט. על שום מה? על שום הצטרפות כעסק לישראכרט. 450 שקלים הצטרפות ועוד "דמי חבר" של 132 שקלים, שכמובן ירדו כל חודש, ללא קשר לכמות העסקאות שתסלוק (לשם השוואה: Paypal לא גבו ממני שקל בהצטרפות כחשבון עסקי). הבוקר חתמתי את המסמכים לסיום הרומן העסקי שלי עם ישראכרט. ב-Paypal סך כל העמלות על עסקאות לא מגיע אפילו למחצית מכך. תודה ישראכרט, אך לא תודה.

סליקת כרטיסים והאבטחה – שלא קיימת

בשבוע שעבר חתמתי חוזה במסגרת העסק שלי לקבל כרטיסי אשראי ללקוחות, והוספתי גם שיפור ללקוחות לגבי תאריכי החיוב (אפשר לקרוא על כך בהרחבה כאן).

עד כאן הכל טוב ויפה, אך מה לעשות שעבדכם הנאמן Geek בנשמתו, ואני אוהב לבדוק איך דברים עובדים. יום שבת הגיע, היה משעמם אז… בוא נבדוק קצת את התוכנה שהתקנתי עבור סליקת כרטיסים של חברה מסויימת (לא אציין פרטים של החברה, אני לא כל כך מחפש תביעות).

התחלתי להסתכל על התוכנה ולבדוק תלויות שלה וגיליתי שהיא עובדת עם MDB, כלומר זו תוכנה שנכתבה עם מיקרוסופט אקסס. נו טוב, גם זה קורה.

לקחתי קובץ MDB והחלטתי לפתוח אותו ב-Hex Editor. הקובץ נפתח בלי בעיה. אוקיי, בוא נריץ חיפוש מחרוזות טקסט. כל מספרי האשראי של ויזה בארץ מתחילים ב-4580 אז בוא נחפש 4580 ונראה אם נמצא משהו.

המממ….. (לחצו על התמונה לקבלת גירסה מוגדלת)

card details-in-hex-editor

מה אתם יודעים! המספר נמצא גלוי לכל, כולל תוקף ושם מלא של המנוי! (במקרה הזה אני הכנסתי למערכת מספר כרטיס פיקטיבי על שם .. החתולה שלי, את השם תראו שם).

עכשיו מבינים שיש פה חור אבטחה ענק! התוכנה מבצעת את הסליקה עם מערכת של שב”א דרך האינטרנט וכך תאורתית אפשר לפרוץ למכונת ה-Windows (כולנו יודעים כמה Windows “מאובטח”!). כל מה שהפורץ צריך לעשות זה לפרוץ למכונה, להוריד את קובץ ה-MDB (לא צריך לחפש אותו יותר מדי, הוא נמצא בתיקיה תחת שם התוכנה שנמצאת ישירות על ה- :C).

לאחר גילוי זה, התקשרתי הבוקר לאותה חברה ודיברתי עם הנציגה. שאלתי אותה אם יש להם באמת תקן PCI כמו שמופיע באתר שלהם. תשובתה “זה בדרך”. סיפרתי לה מה גיליתי והיא אוטומטית הכחישה שזה יכול להיות “מה פתאום! הכל מוצפן!”. אחלה הצפנה, לא?

הכל מוצפן הא? חיברתי אותה ל-VNC, פתחתי מולה את עורך ה-HEX והראתי לה מה שאתם רואים. תגובתה? “אני לא מכירה את התוכנה שאתה מראה לי כרגע”. אה, בגלל שהיא לא מכירה מה זה עורך HEX, הטיעון שלי לא נכון.

החלטתי ליצור קשר עם חברת שב”א, שדרכה אותה חברה סולקת. ענה לי בחור שאפשר לתמצת את תשובתו ל”זו לא בעיה שלנו, פנה לחברות אשראי”. פניתי לחברת ישראכרט, וכבר אחרי 30 דקות שחזרתי 10 פעמים על הסבר פשוט של מה שאני מנסה לאמר, הצליחו להעביר אותי למישהי במחלקת הבטחון. שלחתי אליה אימייל עם כל הפרטים, כולל שם החברה.

תמהני, אם זו אבטחת המידע של אותה חברת סליקה, אני מפחד לדמיין מה קורה אצלם בשרתים ומה יקרה אם יפרצו לשם מחר. מה שמפתיע אותי זו האדישות של כל הגורמים כמו שב”א וישראכרט (לאומי קארד ו-ויזה כא”ל אמרו שיחזרו אליי. הם עדיין לא חזרו).

מה ההמלצות שלי? 2 המלצות פשוטות:

  • חברה טוענת שיש לה PCI? בקשו מסמך המראה את ה-PCI שלהם.
  • אם יש לכם לקוח שעובד עם מערכת סליקה שמתחברת למודם או סולקת לאינטרנט (לא דרך API וובי אלא ממש תוכנה מותקנת במחשב), בדקו אם היא משתמשת ב-Access, ובדקו את קבצי ה-MDB שלה עם חיפוש כמו 4580. אם מצאתם מספרים גלוים, כדאי שתחשבו במהירות על אלטרנטיבה.

עצוב למצוא שבשנת 2011 גם אבטחה של כרטיסי אשראי נעשית בשיטת ה”יהיה בסדר”.

באשר לעסק שלי, כמו שציינתי בעבר: ההגינות היא הדבר הכי חשוב לי. יכלתי לכתוב את הפוסט הזה (או לא לכתוב), להבטיח ללקוחות ש”הכל בסדר” ולהשתמש במערכת הזו, אבל אני מעדיף להיות הגון ולספר על המערכת הזו וכשליה (אגב, אף מספר כרטיס אשראי של לקוח לא הוכנס אליה והתוכנה הוסרה) ולעבור ל-Paypal. אינני יודע מה המתחרים עושים, ולכן כדאי לבדוק (אם יש לך מנוי אצל המתחרים) מי הסולק שלהם ולספר להם על העניין.