» »

Iskanje številk kreditnih kartic z Googlom

Iskanje številk kreditnih kartic z Googlom

Najteže je poguglati prav številke kartic American Express, ker se tudi kartice iste izdajateljice razlikujejo v prvih številkah.

Slo-Tech - Ukradene številke kreditnih kartic se na internetu prodajajo na črnem trgu, in sicer na raznih skrivnih forumih. S tem početjem se ukvarjajo hudodelske družbe, ki so največkrat iz vzhodne Evrope, vse skupaj pa je zaradi nelegalnosti odmaknjeno od oči javnosti. Zato bo toliko bolj presenetljivo, da se je še pred kratkim dalo številne številke kreditnih kartic preprosto poguglati.

Že davnega leta 2007 so raziskovalci odkrili, da lahko v Google vpišete prvih osem številk številke svoje kartice, ta pa vam bo potem postregel z rezultati, med katerimi bo mnogo številk kreditnih kartic. Še bolje je delovalo iskanje po intervalu številk, recimo vnos 4147000000000000..4147999999999999. Google je "luknjo" kmalu popravil in iskanje sedaj vrne napako, če poizkusimo s takšno ključno besedo. Nekaj let je bilo vse tiho, potem pa so lani ugotovili, da se da filter obiti, če iskanje ponovimo v šestnajstiškem številskem sestavu (recimo 0xe6c8c69c9c000..0xe6d753e6ecfff).

Zanimivo je, da je Google potreboval več mesecev, da se je zganil. Gergery Kalman je Google o napaki obvestil lanskega božiča in ponovno avgusta letos, pa se ni premaknilo nič. Šele ko je sporočilo o tej "luknji" romalo na Googlove forume za tehnično podporo, je velikan popravil to obnašanje. To se je zgodilo 26. novembra letos. Zakaj je trajalo polnih 11 mesecev za popravek, čeprav so ga po objavi obvestila na forumih uspeli sproducirati v dveh tednih, ni jasno. Niti ni Google izplačal nagrade prijavitelju v skladu s svojim programom Bug Bounty.

Na tem mestu ne bomo špekulirali, zakaj je Google ignoriral prvi prijavi. Povsem mogoče je, da ustrezni elektronski predal bere en človek in se kakšna prijava lahko izgubi v sistemu ali pa jo je triažiral prenizko. To odkritje namreč ponuja zanimivo primerjavo z avtorsko zaščitenimi vsebinami. Če boste ljudi vprašali, ali imajo kaj proti temu, da Google indeksira njihovo številko kreditne kartice, bo odziv pričakovano negativen. Tega nočejo, pa čeprav Google ni varuh internetnih podatkov, ampak kot iskalnik v bistvu javni imenik. Številke kreditnih kartic so v internet izdali neprevidni prodajalci, ki imajo očitno zanič zavarovane svoje strežnike.

Kaj pa Googlova cenzura avtorsko zaščitenih vsebin? Mnogokrat slišimo pomisleke, zakaj Google blokira povezave do avtorsko zaščitenih vsebin (to pač mora početi zaradi DMCA in v Evropi evropske direktive, če želi obdržati status safe haven) ob prijavi upravičenca, saj da na Googlu ne gostujejo in zato Google ni nič kriv. Problem pa je v resnici soroden. V obeh primerih Google indeksira informacije, ki so prosto dostopne na internetu. V resnici moramo pritisniti na upravljavce zbirk osebnih podatkov in strani, ki gostijo avtorsko zaščiteno vsebino. Google je tu lahko le v pomoč.

29 komentarjev

CyberPunk ::

Za ostale pa tale twitter account :)
https://twitter.com/NeedADebitCard

dr.Akula ::

CyberPunk je izjavil:

Za ostale pa tale twitter account :)
https://twitter.com/NeedADebitCard

What-the-actual-fuck? Po temlem glasujem za uvedbo izpita za uporabo interneta. Tale je sploh prinešena na pladnju.
ni podatka

CyberPunk ::

Lahko da je samo parodija... ampak pri vsem folku na svetu je vse mozno.

BlackMaX ::

Lol.

Ampak, če imaš samo cifro kartice ne pomeni še, da jo lahko zlorabiš.

bluefish ::

Ja, tole sem tudi jaz razmišljal. Načeloma brez tiste cifre zadaj ne gre. Ali pač?

CyberPunk ::

CVC/CVV tromestno stevilko z zadnje strani za online nakupe rabis. Poleg tega je velika verjetnost tudi ta, da za online nakupe z Viso rabis Verified by Visa, za MasterCard pa SecureCode (to pa naceloma kreiras na racunalniku).

...:TOMI:... ::

Ah, te kreditne kartice... Ne vem, zakaj je to tako butast sistem, kot, da bi imel zadaj na telefonu napisan pin pa še puk zraven. Ravno zaradi butastega sistema obstaja paypal. Tista sistema Verified by Visa in MasterCard SecureCode sta pa odvisna od spletne strani, kjer vpisuješ številke, to ni sistemska rešitev omenjenih podjetij. Lahko opraviš transakcijo tudi brez teh varovalnih mehanizmov.
Tomi

BlackMaX ::

bluefish je izjavil:

Ja, tole sem tudi jaz razmišljal. Načeloma brez tiste cifre zadaj ne gre. Ali pač?



Bilo bi preveč izi, če samo rabiš to cifro. Nekdo, ima ziher več znanja o tem.

M.B. ::

Amazon rabi samo cifro pa expiration date. Tako da bi lahko z vsako ko jona tem twitter feedu vido kupo kaj lepega. Res pa je da ko dostaviš na svoj naslov te hitro najdejo.

Paypal je drugo, ker ti odtegnejo potem pa moraš dobit izpisek računa.
Everyone started out as a newbie.
Sadly only a handful ever progress past that point.

Glugy ::

Izvir težave ni pri Googlu. To je tako kot da bi dal slabovidnemu očala in bi on potem očala krivil ker bi z njimi videl nasilje. Problem hranjenja podatkov je v tem da ni nekega univerzalnega standarda na katerega bi potem lahko nevadne uporabnike opozarjal. Če bi bil nek standard bi lahko tudi nevešči veliko lažje se odločil za standardizirano varen sistem kot pa nek neznan. Res morš dvakrat pomislt predn zaupaš neki strani kreditno kartico.

M.B. ::

Eno vprašanje je že kdo na Narodnem domu kupoval karto preko spleta?

Jaz sem prišel do polja za vnos imena pa GSMa pa ni blo nič varne povezave pa nisem nič vpisoval. V navodilih piše da naj bi bla varna ko podatke od kartice vpisuješ.

Pa na petrolu tudi ni bilo varne povezave. Niso bili sicer podatki kreditne kartice ampak petrolove. To zgleda gre skoz vse informacijske pooblaščence en ubogi piškotek pa ne.
Everyone started out as a newbie.
Sadly only a handful ever progress past that point.

OK.d ::

To bi lahko prijavil informacijskim pooblaščencem ne pa tukaj na forumu jokat;)
LPOK.d

ender ::

Nekatere spletne trgovine ne rabijo CVV2 kode, tako da se kartico da uporabit brez nje.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

Matija82 ::

To kakšne vaške štacune ender? Mislim, v svojem desetletju kupovanja online mislim da nisem naletel na trgovino, ki ni zahtevala CVV2.

ender ::

Jaz sem naletel na že ene par takih trgovin, so pa v zadnjih nekaj mesecih vse preklopile na uporabo CVV2.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

ivanuscha ::

Ojej pa kaj je folk res tolk zabit, da slika svoj mastercard in da na net? Neverjetno. Kolikor vidim je od trgovine odvisno kakšno varnost zagotavlja, bi pričakoval da bi npr. Mastercard postavil standard? Ker recimo za kakšne cestnine ali parkirne hiše ti ni treba nikoli PIN vpisovat, je pa res transakcija izvedena instantno.

ender ::

Pri CVV2 je tako, da če ga trgovina ne zahteva, imajo manj zaščite in večjo provizijo za plačat.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

gzibret ::

Lejte. V ZDA je tako, da lahko vsako transakcijo preko kreditne prekličejo brez kakršnihkoli stroškov. In to ne v 24 urah, ampak je ta rok bistveno dalji.
Vse je za neki dobr!

Spiky28 ::

Ja sej pri nas lahko tudi prekličeš, samo če si prepozen...

Leet1337 ::

M.B. je izjavil:

Amazon rabi samo cifro pa expiration date. Tako da bi lahko z vsako ko jona tem twitter feedu vido kupo kaj lepega. Res pa je da ko dostaviš na svoj naslov te hitro najdejo.

Paypal je drugo, ker ti odtegnejo potem pa moraš dobit izpisek računa.

Sam če ne veš hišnega naslova lastnika kartice, ti nebo Amazon odobril transakcije...

Zgodovina sprememb…

  • spremenilo: Leet1337 ()

Markoff ::

Ne bi bilo slabo, če bi parim kretenom, ki fotkajo svoje kreditne/debetne kartice (vsaj v primerih, kjer ne potrebuješ dodatne kode), spraznil račun tako, da bi nabavil 100 PS4 in jih poslal v Žabjek. Pa naj jih kar izterjajo, če lahko. :))
Ad astra per aspera

toro69 ::

Še moje izkušnje iz potovanja po ZDA.

1) vse rezervacije hotelov (Bestwestern...) preko interneta so zahtevale samo številko kreditne + expiration (brez CCV)

2) pri plačilih na blagajni s kreditno ni potreben podpis ali PIN (razen becinske...)

3) pri plačilu na blagajnih s navadno bančno ni bil potreben PIN (razen becinske, bančni avtomati...)

4) nekateri hoteli še vedno kopirajo kreditne na papir z ročnim strojčkom, brez podpisa na BIANCO RAČUN...

Truga ::

bluefish je izjavil:

Ja, tole sem tudi jaz razmišljal. Načeloma brez tiste cifre zadaj ne gre. Ali pač?
Nekateri merchanti ne potrebujejo CVV. Sicer jim pol viza zaracuna mal visjo provizijo, ampak...

http://cancelthat.cc/

Kle vse pise.

M.B. ::

@Leet1337 Kako to misliš?

Ravno pred nekaj časa sem kupoval nekaj na UK amazon. Dostavljal pa sem na "moj" angleški naslov, ker v slovenijo niso hoteli dostavit. Pa ni blo nobenih problemov. Ne spomnim se da bi moral tudi domač naslov napisat.

Tudi eknjige kupujem na amazon UK, če so cenejše (večina je cena amazon.com X, amazon.co.uk x/2 z davkom).
2x so mi napisali da naj potrdim da sem v UK. Po nakupu fizičnih izdelkov pa so zgleda dobli potrdilo.
Everyone started out as a newbie.
Sadly only a handful ever progress past that point.

Leslie Chow ::

teden dni nazaj so mi zlorabili Viso
Podatke so vedeli PayPal, Google (Adwords) in Amazon.
Kartica je doma v sefu in ni šans da bi kdo drug razen banke vedel za podatke...
Nagradno vprašanje kdo je prodal moje podatke? ;(
Vem sam da nobenmu ne zaupam več.

Sedaj...predplačniška visa electron in vsako leto nova...

Truga ::

Podatke si dal sam, ko si nucal isto geslo kot nekje drugje, verjetno.

Leet1337 ::

M.B. je izjavil:

@Leet1337 Kako to misliš?

Ravno pred nekaj časa sem kupoval nekaj na UK amazon. Dostavljal pa sem na "moj" angleški naslov, ker v slovenijo niso hoteli dostavit. Pa ni blo nobenih problemov. Ne spomnim se da bi moral tudi domač naslov napisat.

Tudi eknjige kupujem na amazon UK, če so cenejše (večina je cena amazon.com X, amazon.co.uk x/2 z davkom).
2x so mi napisali da naj potrdim da sem v UK. Po nakupu fizičnih izdelkov pa so zgleda dobli potrdilo.


Sem naročal iz amazon.de na poštno ležeče v Avstriji, in sem mogel pod naslov plačila(ali nekaj podobnega) napisat naslov lastnika kartice(v Sloveniji) in naslov za dostavo(v Avstriji)... tako, da če ne veš naslova lastnika kartice oz. na katerem naslovu jo ima prijavljeno, ti številka kartice nič ne pomeni... seveda to velja za Mastercard, če je za Viso isto pa nevem... ne kupujem pa knjig, ampak hrano za psa, pa ostale stvari, ki so bistveno cenejše na Amazonu kot pri nas...

ender ::

Leet1337 je izjavil:

tako, da če ne veš naslova lastnika kartice oz. na katerem naslovu jo ima prijavljeno, ti številka kartice nič ne pomeni... seveda to velja za Mastercard, če je za Viso isto pa nevem... ne kupujem pa knjig, ampak hrano za psa, pa ostale stvari, ki so bistveno cenejše na Amazonu kot pri nas...
Čisto odvisno od strani. Ko kupujem programsko opremo, mi praktično nikoli ni treba vnašat naslova (pa imam MasterCard), uspelo se mi je pa tudi že zatipkat pri naslovu, pa ni bilo nobenih težav pri transakciji.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

BlackMaX ::

Leslie Chow je izjavil:

teden dni nazaj so mi zlorabili Viso
Podatke so vedeli PayPal, Google (Adwords) in Amazon.
Kartica je doma v sefu in ni šans da bi kdo drug razen banke vedel za podatke...
Nagradno vprašanje kdo je prodal moje podatke? ;(
Vem sam da nobenmu ne zaupam več.

Sedaj...predplačniška visa electron in vsako leto nova...


Da nisi naletel na kakšno lažno starn in vpisla podatke?


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Na Yalu dostopni osebni podatki 43.000 študentov in zaposlenih

Oddelek: Novice / Zasebnost
63792 (2800) crobat
»

Irski sodnik tarča groženj posredi odločitve o blokadi thepiratebay.com (strani: 1 2 3 )

Oddelek: Novice / Avtorsko pravo
10818388 (15841) Matthai
»

Blippyju ušle številke kreditnih kartic

Oddelek: Novice / --Nerazporejeno--
62462 (1878) CyberPunk
»

Na spletu se je znašlo tisoče kreditnih kartic

Oddelek: Novice / Omrežja / internet
103460 (2523) BlueRunner
»

Google pozna tudi številke kreditnih kartic

Oddelek: Novice / Zasebnost
102060 (2060) Bass0

Več podobnih tem