现在有很多被盗登录信息的被黑网站。在许多情况下,该网站声明没有信用卡数据和/或支付信息被盗。
这是为什么?我的假设是:存储支付数据的数据库和存储用户凭证的数据库是相互分离的。到现在为止还挺好。但我不明白的是:为什么他们不能找到对存储支付信息的数据库的访问权限?
后者仍然从外部可见/可访问;那是因为网站的用户也可以查看/添加/编辑他们自己的支付信息,例如他们是否想使用贝宝/信用卡/IBAN。因此,数据库显然可以从“外部世界”访问。
为什么信用卡信息不经常被盗?
信息安全
数据库
信用卡
数据泄露
2021-09-06 09:50:07
2个回答
PCI DSS
造成这种情况的主要原因是支付卡行业长达十年的努力,通过要求处理支付卡数据的每个人(a)遵守一组安全实践和(通常)审计要求,或(b) 停止自己处理支付卡数据并将其委托给能够更好地处理此问题的人。
您不应低估第二部分——虽然几乎所有网站都处理自己的用户帐户数据,但绝大多数接受信用卡付款的网站(尤其是较小的网站)不会以任何方式存储信用卡数据;如果他们确实想要定期付款而不每次都询问 CC 号码,他们改为存储“刚好足够”的信息以向用户显示这张卡已被“记住”以及由他们的银行/网关/其他发行的令牌允许从这张卡向同一个商家额外付款- 所以这些令牌对攻击者来说是无用的。
虽然它不是 100% 的证明,并且有很多很多情况下 PCI DSS 被公然违反,但这确实意味着易受攻击的公司数量显着减少。
在最近披露的 10 亿用户帐户信息被盗的雅虎数据泄露事件中,没有信用卡信息被盗,因为它以加密格式保存在单独的数据库中。
大多数组织都有严格而强大的方法来存储信用卡信息,通常在单独的数据库中并加密。这有助于组织保护高度敏感的数据免受数据泄露。
其它你可能感兴趣的问题