Accepter un numéro de carte de crédit invalide est-il un problème de sécurité?
Je teste un site Web qui accepte les numéros de carte de crédit non valides pour les réservations. La chose intéressante est qu'ils effectuent la validation CC si la devise est USD, mais pas pour les autres devises. Dois-je signaler cela comme un problème de sécurité ou est-ce que cela relèvera de la gestion de la fraude?
Dois-je signaler cela comme un problème de sécurité ou est-ce que cela relèvera de la gestion de la fraude?
Il peut y avoir un problème de risque commercial, que vous pouvez documenter sous sécurité, mais son importance dépend de l'entreprise.
Vous dites le site web
accepte ... les numéros de carte de crédit pour les réservations.
À quoi servent ces réservations?
S'il s'agit d'une chambre d'hôtel, le risque de fraude est limité, car la carte réelle serait requise au moment de l'enregistrement. Un attaquant pourrait tenter d'avoir un impact sur le service en bloquant les chambres avec de fausses cartes, réduisant ainsi la piscine que les visiteurs légitimes pourraient réserver, mais je considère cela comme une préoccupation mineure basée sur des problèmes d'évolutivité et de durabilité.
S'il s'agit d'une boutique de jeux qui achète des actions en fonction des réservations de pré-commande, alors la boutique étend le capital réel aux jeux en stock pour lesquels ils pourraient être bloqués sans acheteurs. Ce type d'entreprise est plus menacé par les réservations de cartes invalides, car elles investissent de vrais dollars dans les ventes prévues que ces réservations indiquent.
Il existe d'autres entreprises où les "réservations" sont largement dénuées de sens, un moyen d'encourager l'engagement du client sans frais réels. Dans ces cas, l'impact commercial est négligeable.
La chose intéressante est qu'ils effectuent la validation CC si la devise est USD, mais pas pour les autres devises.
Et cela peut refléter l'acceptation du risque commercial. Si 99% de leurs réservations sont en USD, le risque d'accepter des réservations de cartes non USD non valides peut être négligeable. Si la mise en œuvre de la validation non USD a un coût spécifique (frais du processeur? Temps de codage pour gérer les branches if-then-else?), Il est alors légitime de le laisser à une couverture de 1%.
Il se peut que vous ne connaissiez pas d'autres contrôles et processus commerciaux qui atténuent le risque, comme la vérification de la carte de crédit via un autre processeur ou l'appel du titulaire de la carte.
Dans tous les tests auxquels j'ai participé, il y a toujours eu une section du rapport qui répertorie les résultats intéressants, mais qui ne sont pas nécessairement des problèmes de sécurité. Je m'attendrais à ce que cette constatation figure dans cette section.
Pourquoi pensez-vous qu'une carte de crédit invalide est soit un problème de sécurité, soit une fraude? Il faut s'attendre à ce que les utilisateurs saisissent parfois le numéro de carte de manière incorrecte. Je l'ai fait. Presque tout le monde l'a fait.
Si vous n'allez pas valider la carte au moment de l'entrée, vous perdez deux choses:
- La possibilité de corriger immédiatement une entrée incorrecte
- La capacité de déterminer s'il s'agit d'un problème de sécurité/fraude
Je préfère valider toutes les cartes plutôt que de m'inquiéter d'une fraude avec celles que je ne valide pas.