Est-il sécuritaire de rendre public les quatre derniers chiffres d'une carte de crédit?
Les numéros de carte de crédit ont un format spécifique . Les chiffres vous indiquent quel type d'établissement a émis la carte, quelle banque a émis la carte, le numéro de compte, etc. Les 16 chiffres doivent être conformes à la formule de Luhn , une simple somme de contrôle mod 10.
Les attaquants ont des listes de premiers nombres à quatre chiffres valides (qui peuvent être réduits en utilisant d'autres informations souvent fournies avec les 4 derniers, par exemple le pays). Est-il possible pour eux de faire correspondre brutalement les correspondances à ces 4 premiers et 4 derniers chiffres en utilisant Luhn et des ordinateurs rapides?
Créer des numéros de carte de crédit valides pour Luhn n'est pas difficile, si vous en avez besoin, ils sont disponibles ici entre autres.
L'astuce pour le criminel est de lier le numéro de carte de crédit au reste des données pour créer une transaction frauduleuse (CVV, expiration, nom, peut-être adresse).
Même si j'ai le nom du client, la date d'expiration et les 4 derniers chiffres, la force brute ne devrait pas être un problème car c'est une force brute en ligne et si vous commencez à parcourir des numéros valides avec un processeur de carte de crédit, je m'attends à ce que vous soyez bloqué très rapidement par des mécanismes de détection de fraude.
Même si un attaquant ne peut pas forcer un numéro de carte de crédit entier à partir des 4 derniers chiffres, ces informations peuvent être utilisées de manière très malveillante, comme en témoigne l'an dernier Mat Honan Hacking .