Security
Now Reading
Un hacker scopre l’algoritmo usato da American Express per assegnare il numero della carta in caso di smarrimento
0

Un hacker scopre l’algoritmo usato da American Express per assegnare il numero della carta in caso di smarrimento

Samy Kamkar ha scoperto una falla di sicurezza nell’algoritmo usato da American Express per assegnare un nuovo numero di carta ai propri clienti in caso di smarrimento. In un post sul suo blog, Kamkar ha affermato che quando ha smarrito la sua carta ed ha ricevuto quella sostitutiva, ha notato che i due numeri erano molto simili. Confrontando anche le carte dei suoi amici, ha scoperto un sistema per prevedere accuratamente il numero della carta che sarebbe stata emessa in sostituzione conoscendo quello della carta originale, anche se già segnalata come smarrita o rubata.

Il ricercatore ha dichiarato che per effettuare degli acquisti, un utente malintenzionato dovrebbe essere in possesso anche del codice di sicurezza della carta (CID o CVV2) ma ha aggiunto che American Express è carente anche in relazione a quest’ultimo perché il codice di sicurezza della vecchia carta può essere usato anche con la nuova, esponendo gli utenti a potenziali frodi.

Micheal Taylor di Rook Security Inc. afferma che lo scenario più preoccupante resta quello in cui il malintenzionato possa avere accesso fisico alla carta ma il problema apre anche la porta a frodi senza che sia necessario il codice di sicurezza. Per effettuare una transazione senza generare sospetti un truffatore potrebbe usare un lettore magstripe o un dispositivo come MagSpoof per caricare i dati della carta originale su un device come la carta Coin che non verifica il codice di sicurezza. In questo modo è possibile sfruttare i problemi di sicurezza e disabilitare il chip ed il PIN ed effettuare acquisti di persona.

Kamkar ha affermato di aver informato American Express e di aver promesso di non rendere pubbliche le proprie scoperte ma che Amex non considera le sue scoperte “un vero problema”.

Taylor invece afferma che il fatto che Amex non lo consideri un vero problema possa essere collegato al fatto che questo tipo di attacco sia nuovo e che l’azienda non abbia considerato i costi del suo utilizzo fraudolento. “American Express dovrebbe rivedere le proprie procedure ed usare dei sistemi diversi per generare i codici delle carte sostitutive in modo da impedire questo tipo di attacchi”, ha concluso.

What's your reaction?
Love It
0%
Interested
0%
Meh...
0%
What?
0%
Hate it
0%
Sad
0%
Laugh
0%
Sleep
0%
Wow !
0%
About The Author
The Server-Side Technology Staff
You must unlearn what you have learned.

Leave a Response