Развитие card‑not‑present environment: история и возможности
Код известен эмитенту и напечатан на оборотной стороне карты. Это должно было означать, что плательщик держит карту в руках в момент совершения операции. Подобно ПИН-коду, код CVC нигде не хранится и передается по каналу связи только в момент проведения авторизации.
Мера позволила, с одной стороны, отсечь хакеров с генераторами номеров, с другой — улучшить положение Интернет-магазинов, потому что появились новые инструменты защиты. Например, теперь если банк-эмитент проверил CVC и подтвердил совершение операции, то опротестовать ее как мошенническую стало сложнее.
С первого взгляда, должна была остаться одна точка компрометации — сам клиент. Но недавний случай с атакой на сайт РЖД показал, что не все так радужно. В 2014 году несколько десятков тысяч номеров карт утекли через уязвимость протокола SSL — Heartbleed.
Атакам подвергались и целые процессинговые центры, такие как «Хронопей». В конце 2010 года был взломан сайт компании, в открытый доступ попали номера карт, прошедших через подключенные к нему торговые точки. Говорят, что была взломана база данных, но пресс-служба компании заявила, что был подменен домен. Это похоже на правду, так как в дампах были и коды CVC, которые, как мы знаем, не хранятся.
После этого случая «Хронопей» растеряла всех уважаемых клиентов и чуть не стала банкротом.