"Por otro lado, me sorprendería que los datos recogidos, en especial, el número CVV estuviera almacenado de alguna manera, ya que está prohibido hacerlo por la normativa PCI-DSS, que es muy estricta, y Air Europa está cumpliendo porque están certificados en ella. Sería muy extraño que estuviesen almacenando esta información, habiendo pasado una auditoria"
Claro, todas esas empresas certificadoras y las que hacen auditorias que estan fuera de toda duda y nunca han firmado ningún documento porque el cliente es el que paga y quieren seguir trabajando con ellos como "consultores".
Total luego si se demuestra que no lo cumplían o que se había lanipulado algo se van de rositas o con una multa ridicula que no llega ni a lo que les ha pagado ese cliente así que da igual.
#3 Como auditor, ahora, ya te digo yo que no. Como responsable de seguridad que ha sido auditado e. El pasado, tampoco. Me las hicieron pasar canutas; ahora bien, lo que haga la empresa después de la auditoría es cosa suya y las autoridades deberán esclarecerlo.
#3 doy fe de lo que dice #5
Con datos bancarios en claro no pasas una auditoría PCI ni pagando millones...
Y puede ser que hackeasen la comunicación con los bancos o que hiciesen algun desarrollo muy chapuza entre auditoría y auditoría, pero lo dudo mucho
#5 Pues yo he pasado auditorías en papel, es decir, marcando que cumplo ciertos requisitos de seguridad que nadie fue a comprobar si realmente los cumplía.
O auditando sobre documentación..sin mirar ni ejecutar el código.
Desconfío mucho, mucho de auditorías y certificaciones
#2 Así es. Huele a subcontrata porque a algún CEO iluminado se le ocurrió que pagar sueldos de mercado a programadores y expertos en seguridad a precio de mercado era muy caro.
Yo creo que es más fácil, encontraron una vulnerabilidad en su web y antes de redirigir a la plataforma de pago los hackers pedian el numero de tarjeta de crédito con fecha y CVV
Una vez le daban a continuar le aparecía que de nuevo tenían que poner los datos de la tarjeta pero ya en un entorno seguro.
Air Europa seguía cobrando sus transacciones y los hackers cogían las tarjetas, hasta que alguien le resultase raro y aireuropa investigase.
Comentarios
"Por otro lado, me sorprendería que los datos recogidos, en especial, el número CVV estuviera almacenado de alguna manera, ya que está prohibido hacerlo por la normativa PCI-DSS, que es muy estricta, y Air Europa está cumpliendo porque están certificados en ella. Sería muy extraño que estuviesen almacenando esta información, habiendo pasado una auditoria"
Claro, todas esas empresas certificadoras y las que hacen auditorias que estan fuera de toda duda y nunca han firmado ningún documento porque el cliente es el que paga y quieren seguir trabajando con ellos como "consultores".
Total luego si se demuestra que no lo cumplían o que se había lanipulado algo se van de rositas o con una multa ridicula que no llega ni a lo que les ha pagado ese cliente así que da igual.
#3 Como auditor, ahora, ya te digo yo que no. Como responsable de seguridad que ha sido auditado e. El pasado, tampoco. Me las hicieron pasar canutas; ahora bien, lo que haga la empresa después de la auditoría es cosa suya y las autoridades deberán esclarecerlo.
#3 doy fe de lo que dice #5
Con datos bancarios en claro no pasas una auditoría PCI ni pagando millones...
Y puede ser que hackeasen la comunicación con los bancos o que hiciesen algun desarrollo muy chapuza entre auditoría y auditoría, pero lo dudo mucho
#6 hablan de web skimming. Estaría bien que compartieran si fue así y cómo por si se trata de un nuevo log4j.
#5 Pues yo he pasado auditorías en papel, es decir, marcando que cumplo ciertos requisitos de seguridad que nadie fue a comprobar si realmente los cumplía.
O auditando sobre documentación..sin mirar ni ejecutar el código.
Desconfío mucho, mucho de auditorías y certificaciones
#3 He estado en empresas muy...relajadas,... con temas de seguridad y ninguna se ha atrevido a violar la PCI. Es incluso difícil.
#11 Estamos hablando del ataque informático a aireuropa, deja de acosarme.@admin
#12 buahambulancia hoy está de vacaciones
¿Computer magic?
#1 Tiene más pinta de los "cacahuetes mágicos". Ya sabes el dicho "si pagas ..."
#2 Así es. Huele a subcontrata porque a algún CEO iluminado se le ocurrió que pagar sueldos de mercado a programadores y expertos en seguridad a precio de mercado era muy caro.
Yo creo que es más fácil, encontraron una vulnerabilidad en su web y antes de redirigir a la plataforma de pago los hackers pedian el numero de tarjeta de crédito con fecha y CVV
Una vez le daban a continuar le aparecía que de nuevo tenían que poner los datos de la tarjeta pero ya en un entorno seguro.
Air Europa seguía cobrando sus transacciones y los hackers cogían las tarjetas, hasta que alguien le resultase raro y aireuropa investigase.
#4 que bien puest@ estás en hackear webs eh? A ver si nos cuentas como fue lo de menéame.
#7 Yo nunca he hackeado una web , pero si que me han hackeado o me han hecho ataques ddos.
Es lo que tiene que a la larga aprendes a bloquear rangos de ips, a estar atento a los logs y esas cosas.
Por cierto ya se que me persigues pero no cambies de temas que estamos hablando y sacando temas personales o de odio contra mi ...
#10 y porque has meneado un bulo a sabiendas de que era falso? Ya te lo dije ayer. Tu si que tienes odio por los palestinos
#4 de eso se habla ahora como vector de ataque.