Развитие card‑not‑present environment: история и возможности

Для дополнительной аутентификации держателя карты платежные системы внедрили специальный код Card Verification Code (CVC). Банки-участники MasterCard начали выпуск таких карт в 1997 году, Visa — в 2001 году.

Код известен эмитенту и напечатан на оборотной стороне карты. Это должно было означать, что плательщик держит карту в руках в момент совершения операции. Подобно ПИН-коду, код CVC нигде не хранится и передается по каналу связи только в момент проведения авторизации.

Мера позволила, с одной стороны, отсечь хакеров с генераторами номеров, с другой — улучшить положение Интернет-магазинов, потому что появились новые инструменты защиты. Например, теперь если банк-эмитент проверил CVC и подтвердил совершение операции, то опротестовать ее как мошенническую стало сложнее.

С первого взгляда, должна была остаться одна точка компрометации — сам клиент. Но недавний случай с атакой на сайт РЖД показал, что не все так радужно. В 2014 году несколько десятков тысяч номеров карт утекли через уязвимость протокола SSL — Heartbleed.

Атакам подвергались и целые процессинговые центры, такие как «Хронопей». В конце 2010 года был взломан сайт компании, в открытый доступ попали номера карт, прошедших через подключенные к нему торговые точки. Говорят, что была взломана база данных, но пресс-служба компании заявила, что был подменен домен. Это похоже на правду, так как в дампах были и коды CVC, которые, как мы знаем, не хранятся.

После этого случая «Хронопей» растеряла всех уважаемых клиентов и чуть не стала банкротом.

© Habrahabr.ru