13/10/2010

data breach forensics...


Une étude réalisée par VISA Europe sur les résultats des analyses "data breach forensics" s'est intéressée aux failles de sécurité les plus utilisés par les pirates pour s'introduire dans des systèmes informatiques stockant des numéros de carte.

Les deux gagnantes sont : l'Injection SQL et les mots de passe par défaut !

Moi qui m'attendais à des attaques cryptographiques évoluées sur le SSLv3 en coeur de réseau opérateur ;) On ne parlera pas ici des entreprises "certifiées PCI DSS" qui stockaient tout de même des cryptogrammes CVV2...

Une autre technique qui prend de plus en plus d'ampleur : les pirates s'attaquent désormais aux sites web qui ont externalisé la page de paiement chez un PSP. Dans ce cas, les pirates pénètrent le site web et modifient la redirection vers le PSP pour attraper, au passage, les PAN et les CVV2.

Des très bons documents sur ces sujets sont publiés sur le site de VISA Europe : http://www.visaeurope.com/en/businesses__retailers/payment_security/downloads__resources.aspx

Aucun commentaire:

Enregistrer un commentaire