תבדקו שלא השארתם טביעת אצבע על כרטיס האשראי


דליפת אלפי כרטיסי האשראי לרשת עוררה, כצפוי, קריאות לעצור את הקמת המאגר הביומטרי. הרשות לניהול המאגר הביומטרי מנסה להרגיע בהודעה ששלחה היום:

“הניסיון לקשר בין דליפת פרטי כרטיסי אשראי מאתרי קניות וקופונים ברמת אבטחה נמוכה וללא פיקוח לבין המאגר הביומטרי, נובע, במקרה הטוב, מחוסר הכרת המציאות והעובדות”. כך אומר היום גון קמני, מנהל הרשות לניהול המאגר הביומטרי. לדבריו, המאגר הביומטרי הוא היחיד שיכול להבטיח לתושבי המדינה שקט נפשי וביטחון שזהותם לא תיגנב.

נכון מרגיע לשמוע את זה ממי שעד לפני רגע היה מנהל אבטחת המידע בלאומי קארד במשך שש שנים?

תגובות

14 תגובות לפוסט “תבדקו שלא השארתם טביעת אצבע על כרטיס האשראי”

  1. אורית on 8 בינואר, 2012 17:32

    לא שזה באמת משנה, אבל היתה איזשהי בעיה שאני לא מודעת לה עם אבטחת המידע בלאומי קארד?
    עד כמה שאני יודעת מדובר בגניבת מספרי כרטיסי אשראי מאתרים לא מאובטחים- ולא ישירות מחברות האשראי…
    במקרה כזה אין לחברות האשראי שום חלק בעניין,
    ולהציג את זה כאילו יש קשר בין הדברים זה בעיקר ניסיון דמגוגי לזרוע היסטריה.
    מעדיפה את האמת הפשוטה על המאגר הביומטרי בלי תוספת דמגוגיה והיסטריה

  2. חופש הדיבור » ארכיון » פצצת אטום היא לא רימון יד .. » חופש הדיבור on 8 בינואר, 2012 17:46

    […] התייחסות מגניבה של עידוק לעיניין […]

  3. חופש הדיבור » ארכיון » פצצת אטום היא לא רימון יד .. » חופש הדיבור on 8 בינואר, 2012 17:53

    […] בפוסט […]

  4. עידן זיירמן on 8 בינואר, 2012 17:54

    מצטרף לשאלה של אורית.

  5. עידן on 8 בינואר, 2012 17:58

    אורית, לי זה נראה קצת מופרך שחברת כרטיסי אשראי נותנת לאתרים לא מאובטחים היתר לסלוק לי את הכרטיס. אבל אולי זה רק אני…

  6. אייל רוטברט on 8 בינואר, 2012 18:05

    אני חושב שזו דוגמא מצויינת.

    לחברת האשראי מנגנונים משוכללים ביותר להגנה על הכרטיסים, על זיוף, על פריצה וכו’.

    כל מה שהיה צריך זה “לקוח” לא זהיר וכל המאמצים האלה ירדו לטמיון.

    בהשאלה למאגר הביומטרי, גם אם יעשו אותו הכי בטוח בעולם. חסר רק שוטר לא זהיר, פקיד חמדן או תוכניתן זרקן איפשהו במערכת ה’לקוחות’ שלה והופס, המידע הביומטרי שלי חשוף (במקרה הטוב) או אפילו ניתן לשינוי (במקרה הרע) ע”י כל החפץ בכך.

  7. נועה on 8 בינואר, 2012 18:28

    אני עם אורית. ככל הידוע לי, ההגנה על הדאטאבייסים הפנים לאומיקארדיים – שזה מה שמר גון(!) משהו עושה – אמור להיות בסדר. סליקה לאתרים לא מאובטחים? לא רואה המון קשר בין המאגר הביומטרי למקרה זה, אלא אם כן מתכננים לחלוק את המידע שלנו *ישירות* עם גופים נוספים כמו המשטרה (AKA לא מאובטחים), להבדיל מלהוציא לגופים האלה פלט לגבי שאילתא.

    המאגר עצמו ודרגת היעדר הפרטיות בו – אלה פסולים מיסודם. אבל אם אתה חי עם הרעיון בשלווה, זה שלקחו איש מקצוע מתחום כרטיסי האשראי להיות אחראי האבטחה של המאגר הזה? נראה לי בהחלט סביר.

  8. אמיר on 8 בינואר, 2012 20:27

    עידן, מה קשור? הם אפילו לא סולקים את הכרטיס בעצמם הם עשו את הסליקה דרך טרנזילה ! רק שהם החליטו, בניגוד להסכם שלהם עם חברות האשראי וטרנזילה, לשמור את המפרי כרטיסים לעצמם.
    האם זה נראה לך מופרך שחברת כרטיסי אשראי נותנת לכל מסעדה אישורי סליקה בלי לנסות לפרוץ אליהם לפני?

  9. ישי on 8 בינואר, 2012 21:23

    אני בטוח שעידו התכוון לכך שצירוף המקרים נשמע מצחיק.

    כל מי שבתעשיה יודע ש:
    א. גון הוא איש מקצוע מצוין.
    ב. אין שום קשר בין אבטחת המידע של לאומיקארד לכך שיש אתרים שלא יודעים לשמור על אבטחת המידע שלהם.

  10. קשטן on 9 בינואר, 2012 10:24

    לאורית וכל שאר התוהים:
    אין קשר ישיר לחברת לאומי-קארד ובוודאי שלא לאיש שאחראי על אבטחת המידע הפנימית בארגון.

    אבל!!!

    לחברות האשראי יש תקן אבטחת מידע שנקרא PCI (ונפרס על אלפי עמודים)
    בעקרון – כאל אתר שרוצה להחזיק נתוני אשראי *מחוייב* לעמוד בו (אלא אם הוא סולק דרך צד שלישי ואז אסור לו בכלל לבקש נתוני אשראי).
    התקן הזה כאמור מחייב מה שאומר שמגיעים בודקים מטעם PCI לוודא שהאתר עומד בו.
    לאתרים שנפרצו היה אישור עמידה בתקן, מה שאומר שיש רק שתי אפשרויות:
    א. אנשי האתר (או החברה שהקימה אותו) הונו את בודקי PCI – דבר שהוא עבירה פלילית.
    ב. בודקי PCI לא מקצועיים מספיק וזה כבר מפיל את האחריות גם על חברות האשראי עצמן!

    מתוך היכרות עם הבודקים והתקן ולאחר ביצוע מספר תהליכי הסמכה כאלה – אני יכול רק לתת את השערתי שמדובר באפשרות השנייה.
    עצוב אבל זה המצב.

  11. גיא on 9 בינואר, 2012 13:16

    אייל:
    המקרה המקביל ל”כשל” כזה במערכת הביומטרית הוא לא של שוטר לא זהיר או פקיד חמדן (שהרי הם חלק מהמערכת. בדיוק כמו שפה לא היתה בעיה עם אף גורם בחברות האשראי).

    המקרה (ההיפותטי) המקביל הוא שתנדב בעצמך את טביעות האצבע והפרטים האישיים לאיזה חאפר בתמורה לסחורה שהוא הציע למכור לך, ושהחאפר הזה החליט אחר כך לשמור את הפרטים שלך בצורה לא מאובטחת (ובניגוד מוחלט לתקנות).
    אתה לא יכול להתלונן על כשלים במסד הנתונים הממשלתי או של חברות האשראי, כשהדליפה בפועל הגיע ממקור אחר שאתה סיפקת לו מרצונך את המידע.

  12. עידן on 9 בינואר, 2012 13:27

    חברות האשראי עבדו פה שעות נוספות בכתיבת טוקבקים. כל הכבוד!

  13. רועי on 11 בינואר, 2012 12:31

    לי זה נשמע כמו: “שמעתי שיש לכם ביצים שאתם שומרים עליהם! יש לי רעיון, בוא ניקח את כל הביצים שלכם ונשים אותם בסל אחד”. זה בפני עצמו, גם בלי הנסיון שלו בשמירה על כרטיסי אשראי, נשמע מפוקפק.

  14. תירגעו, המאגר הביומטרי הוא לא אתר קופונים : חדר 404 • הבלוג של עידו קינן on 11 בינואר, 2012 23:04

    […] מהאמירה: המאגר הביומטרי הוא לא אתר קופונים. מעבר לכך שהנסיון של גון קמני, ראש המאגר הביומטרי, בתור הממונה על אבטחת מידע בלאומי […]

פרסום תגובה