让我们来看看：

即使你说的是对的，而且 ISP 坚如磐石

1. 你相信这个“​​人”吗？如果答案是否定的 - 无论如何都要取消信用卡。

2. 您的信用卡号 + CVV 现在在此人的“已发送”文件夹中，如果他的邮箱被黑客入侵，攻击者会将您抄送。

3. 您的信用卡信息将永久存储在 Google 服务器上

4. 我会取消它

电子邮件不是共享信用卡号码的安全方式

由于各种原因，您描述的方法不安全。这些包括：

以纯文本形式发送号码不安全

您描述的技术可能涉及您以纯文本形式发送您的卡号（将电子邮件从计算机发送到 ISP 的行为）。这是不安全的。它可以通过多种方式被拾取

电子邮件保存在多个地方

该信用卡号现在可以存在于多个地方

• 在发送它的计算机的“已发送”文件夹中
• 在 ISP 服务器上
• 在 Gmail 帐户中

现在它只有 3 个可以存储的位置，当您考虑备份时，您的号码可能已经有很多很多的副本散布在世界各地。

我认为上述答案是正确的，通过电子邮件发送信用卡详细信息是不安全的。但是，由于您特别关注运输中的拦截而不是其他答案中提到的各种存储点，因此至少值得考虑逆向观点：

考虑攻击树：

固定网络（公司内部）：

• 攻击者必须破坏物理访问控制（或成为影印修理工）或成为内部人员
• 通过 NAC（但大多数公司没有此）或拥有工作站
• 在打包交换网络（所有现代公司）中，您无法访问大量广播流量
• 因此，假设您不是网络管理员，您必须访问路由器或交换机，这意味着利用安全错误配置或漏洞（很好，metasploit 不存在任何问题，大多数组织特别擅长修补网络设备），但假设您听Cisco/Juniper 等并每 3 个月打一次补丁（至少是非常糟糕的东西）左右，并且您至少对 RAS 服务器的所有内容进行身份验证
• 即使您可以访问、ARP 中毒、DNS 缓存中毒等等，那么您还有下一个问题：音量。有大量数据可以访问主要路由器或钥匙开关。现在许多都启用了千兆位，这意味着从消防水管中饮用。即使使用合法的网络 DLP 监视器，您也需要高性能的数据包重组器、良好的硬件和软件，然后才能进行有效的模式匹配。所以很难得到那个 CEO 的电子邮件，得到奇怪的密码可能还不错
• 这些数据也是暂时的——一旦数据包消失，它们就消失了（尽管管理员登录可能经常发生），但机会窗口有限
• 或者，您可以执行我之前谈到的操作，将嗅探器放在您要监控的盒子上，但同样的问题假设合理的访问是错误配置或安全漏洞，或者缺乏反恶意软件控制。前两个也是更有针对性的攻击

公共网络：

• 似乎是一个更容易的目标 - 您不再对中间盒或网络设备的访问控制感到满意
• 但是让我们看看像电子邮件这样的东西——大多数邮件传输代理 (MTA)，包括像谷歌这样的大公司现在都使用乐观 TLS，这意味着，你的大部分电子邮件可能包含你最敏感的信息，很可能在传输过程中被加密无需您再做任何事情
• 甚至共享的 MPLS 网络也有 VLAN 标记
• 你又遇到了消防水管问题，但更糟一百万倍，还有瞬态信息页面
• 查看您在 datalossdb.org 上发现了多少实际被利用的丢失事件或有关拦截传输中数据的 Web 应用程序安全事件

无线网络：

• 企业：WPA2 是事实上的标准，它并不完美，但您无需做任何其他事情即可获得加密
• 家/星巴克等：这是一个合法的风险，实际上是 OWASP 给出的最好和唯一的例子。10 缺乏传输加密是在不安全的家庭无线网络上拦截 - 地狱，即使是街景上的谷歌汽车也能做到。但是即使在这里，大多数/所有提供远程访问的公司都提供了 VPN，所以您还需要什么吗？

完整的博文：http ://www.rakkhis.com/2010/08/why-ssl-is-just-not-that-important.html

您可能仍然应该取消卡，但考虑其他控制，例如卡上的限制，如果您启用了 3D 安全（例如通过签证验证），您可以监控您的报表、您的银行欺诈检测系统；如果这些使您的风险偏好中的风险，您可能会决定在运输或存储过程中被拦截的风险足够低，您可以接受。

Google 的邮件服务器确实支持 AUTH TLS 作为首选，因此您的信用卡很有可能在传输过程中被加密。同样，现在您存储了不应该存储的“轨道 2”数据，即您的 CVV。

如果这张信用卡实际上是借记卡，我肯定会立即取消。信用卡对欺诈活动有很好的保护/无忧。我当然会感到不安，而您也可能会感到不安，因为您不会发布问题，所以我可能会重新发行信用卡。

如果那个“某人”是商家，如果他们对您的持卡人数据如此漫不经心，您可能不想与他们做生意。如果该人是受信任的人，那么您需要评估您的卡通过电子邮件发送给您的原因并修复该过程。