В Северной Америке есть такая популярная программа AirMiles, где дают поинты за шопинг в магазинах партнёров. Среди партнёров есть даже Amazon и Apple, так что размах программы я думаю объяснять не нужно. Наверно это самая популярная система заработка поинтов.
Но безопасность этой системы все это время была ниже плинтуса, и я удивлён, что только в этом месяце выяснилось, что пользователей AirMiles кидали, а точнее у них воровали поинты. У меня на карте сейчас лежит поинтов на 60 баксов, и я могу пойти в продуктовый магазин Метро и при покупке товара использовать эти поинты.
До сих пор на сайте AirMiles можно было увидеть свой баланс просто указав номер своего аккаунта. Не нужно указывать даже пароля, только номер, который состоит из 11 цифр и пин код из 4 цифр. То есть всего существует 9999 вариантов пин кодов. Сколько времени займёт перебор?
Но даже если не знать баланс карты, достаточно легко перебирать номера карты прямо в магазине. Когда я завел себе iPhone 6 почти два года назад, то я перевел в пасы почти все свои поинтовые карточки. И какое удивление у меня было, когда я увидел, что у карточки AirMiles на Apple Watch нет никакого штрих кода, только номер. У версии на телефоне есть штрих код, но когда я в магазине попросил отсканировать штрих код с телефона, мне кассир сказала, что они не могут сделать и я должен продиктовать им номер.
Представляете какая пробоина? Я могу сделать снимок своей карты, в любом графическом редакторе изменить номер на любой другой, и показывать продавцам фотографию на часах или телефоне. Они все равно не смогут сканировать, а будут вводить код, который я напишу цифрами. Причем можно написать два разных – один на часах, другой на телефоне. Если один из них не сработает, то показать другой. Однажды мне повезет, и я случайно угадаю код карты, на которой много AirMiles наличности и я смогу получить свои покупки нахаляву.
Что сделали в AirMiles для защиты? Они просто ввели лимит на 50%. Введите нормальные штрихкоды в своих мобильных приложениях и штрихкоды должны включать в себя не только номер карты, но и какое-то число контрольной суммы. Еще одним плюсом в пользу защиты может быть требование вводить пин код во время использования денег с карты.
Понравилось? Кликни Лайк, чтобы я знал, какой контент более интересен читателям. Заметку пока еще никто не лайкал и ты можешь быть первым
Паника, что-то случилось!!! Ничего не найдено в комментариях. Срочно нужно что-то добавить, чтобы это место не оставалось пустым.
Хотите найти еще что-то интересное почитать? Можно попробовать отфильтровать заметки на блоге по категориям.
Добавить Комментарий