web-dev-qa-db-fra.com

Contourner avec un mauvais cvv de carte de débit et obtenir OTP

Cela se produit avec Visa/MasterCard/American Express, etc. cependant, la transaction échoue en raison d'une validation au dernier pour un CVV erroné.

Mais cela ne devrait-il pas supposer de vérifier avant d'obtenir le OTP? Quelle est la raison, n'est-ce pas un problème de sécurité?

androidone-time-passwordpayment-gatewaypayment
30
Akshansh Shrivastava

Mais ne devrait-il pas supposer que je vérifie avant d'obtenir le OTP? Quelle est la raison, n'est-ce pas un problème de sécurité?

C'est absolument PAS un problème de sécurité! bien au contraire, c'est une protection.

Permet de passer par les étapes.

  1. Vous mettez les détails de la carte.
  2. Vous mettez en CVV
  3. Vous mettez dans le bureau du Procureur.

Le paiement est traité si et seulement si la combinaison de tous est correcte.

Supposons maintenant un scénario où il vous dit que le CVV est mauvais avant le 2FA qui va simplement donner à l'attaquant une chance de mieux attaquer.Maintenant, l'attaquant sait que le CVV est mauvais et peut simplement changer cela. devra casser l'authentification à 2 facteurs pour obtenir ces informations

89
Vipul Nair

En plus de la règle générale de ne pas donner à l'attaquant des informations en rejetant trop tôt, il y a certaines choses spécifiques au secteur des paiements qui sont quelque peu pertinentes.

Bien que souvent présentées au client comme obligatoires, les informations authentification sur un paiement sont généralement utilisées pour évaluer le risque et attribuer la responsabilité.

Par exemple:

  • Un paiement sans CVV fourni peut être accepté par la banque émettrice, mais s'il est contesté comme frauduleux, le commerçant sera responsable du remboursement. Si le paiement a été entièrement authentifié, le système de carte ou l'émetteur assumera cette responsabilité à la place.
  • Un paiement avec un CVV incorrect mais une adresse correcte, un mot de passe à usage unique interactif et des détails de commande compatibles avec le comportement précédent peut être accepté comme "à faible risque" par un système de notation de la fraude.

La réduction de la sécurité dans les deux cas est échangée pour la commodité du client. La nouvelle version de 3-D Secure (sous la marque "Visa Secure" et "MasterCard ID Check") est explicitement conçue autour de cette idée, avec une grande quantité de saisie automatisée d'informations à l'avance, ce qui signifie que l'authentification interactive sera simplement ignorée si le transaction est déjà considérée comme à faible risque. Le CVV entré n'est plus qu'un élément de données dans cette analyse complexe.

13
IMSoP

Développeur ici. J'ai travaillé avec quelques systèmes qui envoient des OTP. Aucun des deux n'avait besoin du CVV pour l'envoyer.

Selon la réponse de Vipul Nair , il est recommandé de ne pas laisser un attaquant savoir qu'une entrée est erronée jusqu'à la fin, afin de ne pas divulguer ce qui pourrait être faux. Je voudrais ajouter que les boutiques en ligne peuvent généralement conserver vos PAN et autres données dans leurs bases de données, mais elles ne sont pas autorisées (par la loi ou par l'émetteur de la carte) à stocker votre CVV. Dans certains cas (pas tous), c'est le magasin qui envoie un OTP, ils n'auraient donc pas de moyen de valider avec votre CVV de toute façon.

2
Renan