On Thu, 23 Mar 2023 06:22:00 -0700 (PDT), Dawid Rutkowski wrote:
> czwartek, 23 marca 2023 o 12:11:10 UTC+1 J.F napisał(a):
>>> Fraud - sądzę, że lecieli po kolei z numerami kart - bo jeśli w durnym amazonie
>>> dalej tak jest, że nie trzeba CVC2, to wystarczy wylosować datę ważności.
>>> A może nawet nie losować, jeśli IKA robi tak jak luzak citek, czyli numeruje
wydawane karty po kolei...
>> Niektorzy maja dluzej. Numer zostaje, a data sie zmienia.
>
> Takiś uczony?
> To sprawdź najpierw, czy IKA wznawia karty, a potem się mądrzyj.
> Do tego seria tzw. "wielowalutowych" jest dopiero pierwsza - ja miałem jedną z
pierwszych,
> a była jeszcze ważna do lipca.
>
>> Podejrzewam, ze w miare łatwo da sie ustalic liste prawdopodobnych
>> numerow kart.
>> Ale tez banki sie moga zabezpieczyc, i np po 5 nieudanej probie
>> zablokowac klienta/komputer/adres IP.
>
> Próba wystarczy jedna.

Jedna to troche mało. ludzie się mylą.
Co prawda mozna próbowac rozpoznac czy to wygląda na pomyłke, czy ktos
np kolejne daty sprawdza. I informatycy mają zajęcie :-)

>A hacker ma do dyspozycji ze 100 IP.

To mu zablokują 100 i kariera sie skonczy.

Tylko teraz internet komórkowy modny - z jedngo IP wielu ludzi
korzysta, nie mozna zablokowac.

>>> Albo nawet nie losować, tylko z aliora wyciekła lista kart, alior oczywiście,
>>> jako pisiorski bank pod pisiorskim nadzorem, ani słowa o tym.
>> Z datami waznosci i cvc2?
>
> CVC2 wylicza się tajnym algorytmem z daty ważności i numeru karty.

Wow, a to sobie zabezpieczenie wymyslili

> Numery można dawać po kolei, daty ważności takoż.

Mozna, ale przy pewnej losowosci danych nie tak łatwo trafic.
Gorzej, jak piszesz, ze bank nie wznawia kart, i numeruje kolejno.
Patrzysz na jedną kartę, i mozesz wygenerować tysiace kolejnych.

> Ale amazon chyba wciąż nie wymaga cvc2 (a na pewno był czas, że nie wymagał),
> nie mówiąc o 3D-Secure.

No, jesli to taki tajny algorytm, to po co ma wymagac :-)

Algorytm jak widzę całkiem jawny nie jest, bo są dwa tajne klucze do
DES ... ciekawe, czy hackerzy je znają ...

>>> No coz, wyciekaly i z innych miejsc,
>>> Haker nie musi być kulturalny - nawet jak sprzeda za dolara taką subskrypcję, to
zarobi tego dolara.
>> trzeba miec kulturalnych przyjacioł.
>> A 1$ mało. I mozna latwo wpasc.
>
> Tylko mi IKA kartę wydał?

Nie tylko tobie, ale zeby zarobic 100$, to trzeba sie troche narobic
i miec setke zaufanych odbiorców.
Narkotyki lepsze.
No chyba, ze gdzies w Chinach, Rosji, Indiach, Afryce - to nie ma
problemu ze zbyciem nawet tysiąca subskrypcji bez ryzyka ...


J.