Конкурент показал дыру в платежной системе Square

Конкурент показал дыру в платежной системе Square

Компания VeriFone, которая, в частности, предлагает портативное устройство для быстрых оплат при помощи смартфонов, громогласно заявила о незащищённости конкурирующего продукта от фирмы Square. Та, в свою очередь, уверяет, что её решение удовлетворяет всем необходимым требованиям и учитывает все риски.



Около года назад стартап Square представил на американский рынок одноимённое устройство для чтения банковских карт. Компактный считыватель вставляется в аудио-выход айфона, айпэда или андрофона и позволяет владельцу аппарата легко собирать плату за те или иные услуги. Square поставляет такие девайсы бесплатно, живя лишь за счёт комиссии, сообщает сайт webplanet.ru.

С самого начала к Square звучали претензии со стороны экспертов по безопасности, которых смущало, что этот кард-ридер не способен шифровать считываемые данные. Он просто передаёт их в открытом виде на смартфон, где соответствующий уровень защиты, включая шифрование, обеспечивает фирменное приложение.

Вчера руководитель компании VeriFone Даглас Берджерон (Douglas Bergeron) разразился открытым письмом, в котором предложил конкурентам "поступить ответственно" и отозвать свои устройства с рынка. К письму прилагался специально созданный сайт с видеороликом и различными пруф-линками (а также, разумеется, ссылкой на собственную разработку VeriFone — PAYware Mobile).

Берджерон заявил, что, благодаря "серьёзной уязвимости" Square, любой достаточно умелый программист "менее чем за час" способен написать мобильное приложение, которое можно использовать для скимминга — считывания всех данных с магнитной полосы банковской карты. Грубо говоря, человек под видом какого-нибудь таксиста или мелкого торговца предложит вам расплатиться за его услуги картой через Square, но при этом украдёт критические данные о вашей карте и использует их затем для онлайн-покупки "телевизора с большим экраном" (как говорится в видеоролике VeriFone).

Эксперты VeriFone пошли дальше: они написали демонстрационное приложение, которое считывает эти данные, и даже выложили его в открытый доступ, но затем по каким-то причинам тихо его удалили (в HTML-коде их сайта ссылка на приложение закомментарена, причём сама ссылка уже не действует). Правда, это приложение VeriFone разослала банку JP Morgan Chase, который обрабатывает платежи через Square, и компаниям Visa, MasterCard, Discover и American Express, чьи карты поддерживаются этой системой.

Глава Square Джек Дорси (Jack Dorsey), который, к слову, является одним из основателей Twitter, успел отреагировать на чёрный пиар VeriFone. Он отметил, что информация, распространяемая "одним из наших конкурентов", содержит лишь часть правды. Мол, идея Square — максимально упростить платежи, а вся необходимая защита уже и так "встроена" в платёжные карты. Дорси также напомнил, что банки снимают со своих клиентов ответственность за махинации злоумышленников с их картами.

Ранее Дорси заверял, что его система будет полностью соответствовать требованиям первого уровня стандарта PCI DSS. Чего, по всей видимости, компании Square и удалось добиться, поскольку Visa привествовала её технологию не далее как в феврале этого года. Отметим также, что стандарт PCI DSS ничего не говорит о необходимости шифровать данные на уровне магнитного считывателя.

Надо заметить, что верифоновский PAYware Mobile оборудован аппаратным шифрованием и требует ввода PIN-кода. Но, в отличие от крохотного Square, это довольно-таки громоздкое устройство, увеличивающее толщину айфона вдвое. Видимо, Square за счёт своих небольших размеров, простоты в использовании и низких затратах куда сильнее прижился в народе, чем PAYware Mobile.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Платформа Сфера теперь доступна в формате SaaS

На ежегодной конференции «НОТА ДЕНЬ» ИТ-холдинг Т1 представил SaaS-версию своей платформы «Сфера». Новая модель не требует локальной установки — для работы достаточно веб-браузера, а все обновления и вопросы безопасности находятся в зоне ответственности разработчика.

Функционально SaaS-версия не отличается от других вариантов развертывания платформы. В её состав входят следующие модули:

  • Сфера.Задачи — инструмент для управления проектами, задачами, статусами и отчетностью;
  • Сфера.Знания — централизованная база знаний с гибкой системой разграничения доступа;
  • Сфера.Код — репозиторий исходного кода с функциями ревью, контроля изменений и истории;
  • Сфера.Дистрибуция и лицензии — модуль для управления релизами, сборками и лицензиями.

Платформа размещена как на инфраструктуре холдинга Т1, так и на мощностях сторонних центров обработки данных. Все используемые площадки соответствуют требованиям российского законодательства, включая нормы по защите персональных данных. Обеспечивается шифрование данных на всех уровнях, аудит пользовательской активности, разграничение прав на основе ролевой модели и регулярное резервное копирование.

Платформа поддерживает интеграции с корпоративными системами через REST API и Webhooks. Также реализованы коннекторы к инструментам CI/CD и внутренним системам трекинга задач. Предусмотрен импорт данных из популярных решений, таких как Jira, GitHub, Confluence и SVN.

Как отмечает руководитель производственного блока вендора НОТА Юрий Мацыгин, SaaS-модель предназначена для компаний, которые не располагают собственной ИТ-инфраструктурой, но заинтересованы в использовании инструментов платформы. Такой подход позволяет упростить запуск, обеспечить масштабируемость и снизить издержки на внедрение, при этом ускоряя вывод цифровых продуктов на рынок.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru