Empresa de pago electrónico VeriFone lanzó un ataque sorpresa en el inicio de pago móvil caliente Plaza hoy, con CEO Douglas Bergeron escribiendo una carta abierta que reprendió a fallos de seguridad de la Plaza, instó a una recuperación de productos de la Plaza y pedido a gigantes de crédito de Visa MasterCard para examinar una aplicación VeriFone creado, "en menos de una hora," que supuestamente "lleva" o roba información de tarjeta de crédito de los consumidores a través de la plaza.
Vamos a examinar si esto equivale a audaces PR de un competidor defensivo o si cuadrados realmente tiene lagunas de seguridad para corregir.
Carga mayor de VeriFone es que el hardware de la plaza no cifrar datos de consumidores. Una vez que la tarjeta es golpeada, la información está codificada sólo después de que llegan app de la Plaza, dice VeriFone. Durante el tiempo en entre cargos Bergeron, hay una "ventana para criminales activar el dispositivo en una máquina desnatada" simplemente creando una falsa aplicación cuadrada que intercepta la información sin cifrar.
Por supuesto, datos de consumidores fácilmente podrían ser robadas en cualquier otro dispositivo. En lugar de crear software falso de cuadrados, uno necesita sólo una espumadera electrónica--decir, un dispositivo de VeriFone simulacro--para extraer datos de la tarjeta de la víctima después de es golpeado durante una transacción aparentemente legítima. Puede parecer que sólo golpeado a través de su máquina típica tarjeta voluminosos--hasta que reciba una llamada de su banco unas semanas más tarde diciendo la información de su tarjeta ha sido robada. Tales robos no son infrecuentes en bares, restaurantes, o en los cajeros automáticos.
¿Pero aún más fácil que con una espumadera? Copiar sólo la información que aparece en la tarjeta. ¿Cuántas veces hemos hemos dado tarjetas de crédito a los camareros, que vagan en la trastienda para completar la transacción? ¿No sólo copian a su nombre, número de tarjeta, código de seguridad y fecha de caducidad? No es como si esa información está cifrada.
Sin embargo defensa de la plaza no puede ser VeriFone y otros dispositivos son sólo tan inseguros. Otros lectores de tarjetas se enfrentan problemas de seguridad similar, lagunas de la Plaza parecen ser los más fácilmente vulnerables. No necesita una espumadera falsa--la información puede ser desnatada mediante el dispositivo real de cuadrados, que, segun VeriFone, no cifra los datos de consumo.
Tal vez parte de la cuestión es que el hardware de la plaza está diseñado para consumo masivo. Después de todo, el dispositivo se regala gratis, y como COO Keith Rabois recientemente los costes de fabricación de Fast Company dijo son "mide en los dólares." ¿Ese bajo costo reduce las funcionalidades de seguridad del dispositivo? Plaza se negó a comentar para el registro en el momento de la publicación, pero, elocuentemente, en la sección de seguridad de su sitio Web, Plaza dice sólo su software--no su hardware--se desarrolla mediante prácticas de seguridad estándar de la industria.
Esto es a diferencia de pago móvil competidor Intuit, cuyo sistema de GoPayment utiliza un lector de tarjetas de Mophie instantáneamente cifra los datos de consumo para la seguridad. Hardware de Intuit cuesta $179,95--pero especifica que "después de pasar la tarjeta, datos es inmediatamente cifrados utilizando métodos de seguridad estándar de la industria de Intuit."
Cuando se le preguntó recientemente acerca de la seguridad de la Plaza, Rabois dijo Fast Company que "diseño cuestiones de seguridad". "Más bien construida que es un producto, que más gente confía en él", dijo el Rabois.
Aún no equiparar a la percepción de seguridad con un sistema que es realmente seguro. Tal vez eso es donde tropezó Plaza: confiar que diseñar un dispositivo elegante alguna manera crearía real--a diferencia de percibió - seguridad. "Si algo parece bien diseñado, apela a la gente", dijo Rabois. "Entienden que mucho cuidado entró, y se refiere a que ayuda a--es la mejor manera de facilitar".
Tras las acusaciones condenatorio de VeriFone, Plaza tenga que ir más allá de diseño para aliviar las preocupaciones de los consumidores acerca de la seguridad.
Sin duda, este es un claro movimiento PR por VeriFone, pero que no ha impedido nos preguntan si el hardware de la Plaza es fácilmente susceptible a rozar la tarjeta. ¿Dispositivos de Plaza cifrar información a los consumidores una vez es golpeada una tarjeta? Estamos esperando escuchar desde Plaza de respuestas.
Siga @ fastcompany en Twitter.
No hay comentarios:
Publicar un comentario