On Wed, 16 Jul 2025 14:16:16 +0200, J.F wrote:
> On Wed, 16 Jul 2025 12:47:32 +0200, Kamil Jońca wrote:
>> "J.F" <j...@p...onet.pl> writes:
>>> On Wed, 16 Jul 2025 10:53:44 +0200, Kamil Jońca wrote:
>>>> "J.F" <j...@p...onet.pl> writes:
>>>> [...]
>>>>> To nie jest (pseudo) losowa liczba, tylko wynikła z innych cyferek na
>>>>> karcie. Więc żadne zabezpieczenie.
>>>>
>>>> A jakieś źródło tej rewelacji?
>>>
> https://developer.visa.com/capabilities/pav/docs-how
-to
> "The Card Verification Value 2 (CVV2) is the three-digit security code
> that is printed on the signature panel of every Visa card. The CVV2
> value is calculated using a secure cryptographic process and a key
> that is known only to the issuer and to Visa.
> You can use the CVV2 Validation service to determine if the issuer of
> the account recognizes the CVV2 value given to you by the user of your
> project. This will help you to verify that the cardholder has the
> physical card in their possession. CVV2 Validation is primarily used
> in the e-commerce or other card-not-present environments, but can also
> be used in a card-present environment if you are unable to obtain a
> magnetic stripe or chip read. CVV2 validation is one of the options
> you can select when you use the Payment Account Validation API. "
>
> Czyli co - zakładamy, że te klucze CVK są przydzielane przez Visa/MC
> dla banku/innego wydawcy, są stałe, przynajmniej okresowo stałe,
> są tajne, nie wyciekły ani z banku, ani z Visy/MC, i trudno będzie
> hackerom znaleźć CVV2 na podstawie innych danych ?
> A publikowane algorytmy są raczej poglądowe, bo bez kluczy mało
> użyteczne?

P.S. generator przykładowych numerów kart
https://neapay.com/online-tools/credit-card-number-g
enerator-validator.html


Generuje też CVV/C2 ... posługując się jakimś losowym/fikcyjnym
kluczem CVK ?
A - bardzo losowy ten CVV, bo przecież nie podają daty ważności.



J.

do góry

"J.F" <j...@p...onet.pl> writes:

> On Wed, 16 Jul 2025 12:47:32 +0200, Kamil Jońca wrote:
>> "J.F" <j...@p...onet.pl> writes:
>>> On Wed, 16 Jul 2025 10:53:44 +0200, Kamil Jońca wrote:
>>>> "J.F" <j...@p...onet.pl> writes:
>>>> [...]
>>>>>
>>>>> To nie jest (pseudo) losowa liczba, tylko wynikła z innych cyferek na
>>>>> karcie. Więc żadne zabezpieczenie.
>>>>
>>>> A jakieś źródło tej rewelacji?
>>>
>>> np
>>>
>>> https://www.chargebackgurus.com/blog/cvv2
>>> https://docs.aws.amazon.com/payment-cryptography/lat
est/userguide/use-cases-issuers.generalfunctions.cvv
2.html
>>
>> Prr. Nawet tam jest wspomniane o kluczu ktorego używamy do przetwarzania
>> pozostalych wartości. Jeśli zmienimy klucz => otrzymamy inne cvv2. Więc
>> to nie jest tak, że zalezy tylko od innych cyferek na karcie.
>
> I myśliśz, że bank za każdą kartą zmienia?
> Czy raczej raz na parę lat, albo wcale?

Ja myślę, że spokojnie może być inny klucz per transakcja.


>
> No ale jeżeli to pisze Amazon, w kontekscie weryfikacji kart,
> to ten algorytm i klucz jest chyba jakos bardziej powszechnie znany ?
>
> Dobra - to jest chyba dla developerów współpracującyh z Amazon i tyczy
> się nie bardzo wiadomo czego.
> Czyli wracamy do pierwszego linka, i innych, i np AI
>
>
> https://developer.visa.com/capabilities/pav/docs-how
-to
> "The Card Verification Value 2 (CVV2) is the three-digit security code
> that is printed on the signature panel of every Visa card. The CVV2
> value is calculated using a secure cryptographic process and a key
> that is known only to the issuer and to Visa.
> You can use the CVV2 Validation service to determine if the issuer of
> the account recognizes the CVV2 value given to you by the user of your
> project. This will help you to verify that the cardholder has the
> physical card in their possession. CVV2 Validation is primarily used
> in the e-commerce or other card-not-present environments, but can also
> be used in a card-present environment if you are unable to obtain a
> magnetic stripe or chip read. CVV2 validation is one of the options
> you can select when you use the Payment Account Validation API. "
>
> Czyli co - zakładamy, że te klucze CVK są przydzielane przez Visa/MC
> dla banku/innego wydawcy, są stałe, przynajmniej okresowo stałe,

Gdzie ci wyszło, że są przydzielane przez Visa? Tam jest tylko napisane,
ze są "known to issuer and Visa" czyli klucz generowany co minutę i
wysyłany do Visy - spełnia to.
KJ


--
http://wolnelektury.pl/wesprzyj/teraz/
"Roman Polanski makes his own blood. He's smart -- that's why his movies work."
-- A brilliant director at "Frank's Place"

do góry

On Wed, 16 Jul 2025 15:24:25 +0200, Kamil Jońca wrote:
> "J.F" <j...@p...onet.pl> writes:
>> On Wed, 16 Jul 2025 12:47:32 +0200, Kamil Jońca wrote:
>>> "J.F" <j...@p...onet.pl> writes:
>>>> On Wed, 16 Jul 2025 10:53:44 +0200, Kamil Jońca wrote:
>>>>> "J.F" <j...@p...onet.pl> writes:
>>>>> [...]
>>>>>>
>>>>>> To nie jest (pseudo) losowa liczba, tylko wynikła z innych cyferek na
>>>>>> karcie. Więc żadne zabezpieczenie.
>>>>>
>>>>> A jakieś źródło tej rewelacji?
>>>>
>>>> np
>>>>
>>>> https://www.chargebackgurus.com/blog/cvv2
>>>> https://docs.aws.amazon.com/payment-cryptography/lat
est/userguide/use-cases-issuers.generalfunctions.cvv
2.html
>>>
>>> Prr. Nawet tam jest wspomniane o kluczu ktorego używamy do przetwarzania
>>> pozostalych wartości. Jeśli zmienimy klucz => otrzymamy inne cvv2. Więc
>>> to nie jest tak, że zalezy tylko od innych cyferek na karcie.
>>
>> I myśliśz, że bank za każdą kartą zmienia?
>> Czy raczej raz na parę lat, albo wcale?
>
> Ja myślę, że spokojnie może być inny klucz per transakcja.

W zasadzie może, ale sensu w tym mało - czemu nie losowy klucz?

No ale teraz, jak CVV/C2 zmienne, to musieli coś zrobic ...
albo nic nie musieli, bo sprzedawca/agent rozliczeniowy nic z kluczami
sprawdzał, tylko słał do banku/wydawcy do sprawdzenia?

>> No ale jeżeli to pisze Amazon, w kontekscie weryfikacji kart,
>> to ten algorytm i klucz jest chyba jakos bardziej powszechnie znany ?
>>
>> Dobra - to jest chyba dla developerów współpracującyh z Amazon i tyczy
>> się nie bardzo wiadomo czego.
>> Czyli wracamy do pierwszego linka, i innych, i np AI
>>
>>
>> https://developer.visa.com/capabilities/pav/docs-how
-to
>> "The Card Verification Value 2 (CVV2) is the three-digit security code
>> that is printed on the signature panel of every Visa card. The CVV2
>> value is calculated using a secure cryptographic process and a key
>> that is known only to the issuer and to Visa.
>> You can use the CVV2 Validation service to determine if the issuer of
>> the account recognizes the CVV2 value given to you by the user of your
>> project. This will help you to verify that the cardholder has the
>> physical card in their possession. CVV2 Validation is primarily used
>> in the e-commerce or other card-not-present environments, but can also
>> be used in a card-present environment if you are unable to obtain a
>> magnetic stripe or chip read. CVV2 validation is one of the options
>> you can select when you use the Payment Account Validation API. "
>>
>> Czyli co - zakładamy, że te klucze CVK są przydzielane przez Visa/MC
>> dla banku/innego wydawcy, są stałe, przynajmniej okresowo stałe,
>
> Gdzie ci wyszło, że są przydzielane przez Visa? Tam jest tylko napisane,

To chyba było z jakiejs innej strony - że issuer dostaje od "payment"

> ze są "known to issuer and Visa" czyli klucz generowany co minutę i
> wysyłany do Visy - spełnia to.

Tylko jaki miałoby to sens, przy zwykłych kartach?
CVV2 jest jeden, się nie zmienia.

Jeśli weryfikacja ma być przez sprzedawcę/agenta, na podstawie danych
karty, algorytmu i klucza ... to i klucz powinien być w miarę stały.

Jeśli sprzedawca/agent tylko wysyła CVV2 do Visy celem sprawdzenia,
to by Visa musiała sprawdzić losowy kod przydzielony przez
bank/wydawcę, i nie pisaliby nic o algorytmie generacji CVV2 ...

J.

do góry

"J.F" <j...@p...onet.pl> writes:

> On Wed, 16 Jul 2025 15:24:25 +0200, Kamil Jońca wrote:
>> "J.F" <j...@p...onet.pl> writes:
>>> On Wed, 16 Jul 2025 12:47:32 +0200, Kamil Jońca wrote:
>>>> "J.F" <j...@p...onet.pl> writes:
>>>>> On Wed, 16 Jul 2025 10:53:44 +0200, Kamil Jońca wrote:
>>>>>> "J.F" <j...@p...onet.pl> writes:
>>>>>> [...]
>>>>>>>
>>>>>>> To nie jest (pseudo) losowa liczba, tylko wynikła z innych cyferek na
>>>>>>> karcie. Więc żadne zabezpieczenie.
>>>>>>
>>>>>> A jakieś źródło tej rewelacji?
>>>>>
>>>>> np
>>>>>
>>>>> https://www.chargebackgurus.com/blog/cvv2
>>>>> https://docs.aws.amazon.com/payment-cryptography/lat
est/userguide/use-cases-issuers.generalfunctions.cvv
2.html
>>>>
>>>> Prr. Nawet tam jest wspomniane o kluczu ktorego używamy do przetwarzania
>>>> pozostalych wartości. Jeśli zmienimy klucz => otrzymamy inne cvv2. Więc
>>>> to nie jest tak, że zalezy tylko od innych cyferek na karcie.
>>>
>>> I myśliśz, że bank za każdą kartą zmienia?
>>> Czy raczej raz na parę lat, albo wcale?
>>
>> Ja myślę, że spokojnie może być inny klucz per transakcja.
>
> W zasadzie może, ale sensu w tym mało - czemu nie losowy klucz?


Co to znaczy losoowy?
[...]

>>>
>>> Czyli co - zakładamy, że te klucze CVK są przydzielane przez Visa/MC
>>> dla banku/innego wydawcy, są stałe, przynajmniej okresowo stałe,
>>
>> Gdzie ci wyszło, że są przydzielane przez Visa? Tam jest tylko napisane,
>
> To chyba było z jakiejs innej strony - że issuer dostaje od "payment"
>
>> ze są "known to issuer and Visa" czyli klucz generowany co minutę i
>> wysyłany do Visy - spełnia to.
>
> Tylko jaki miałoby to sens, przy zwykłych kartach?
> CVV2 jest jeden, się nie zmienia.

Cała dyskusja zaczęła się od tego że SIĘ ZMIENIA.


> Jeśli weryfikacja ma być przez sprzedawcę/agenta, na podstawie danych
> karty, algorytmu i klucza ... to i klucz powinien być w miarę stały.

Nie. Visa jak rozumiem, ma i tak komplet danych do wyliczenia CVV2, poza
kluczem.

> Jeśli sprzedawca/agent tylko wysyła CVV2 do Visy celem sprawdzenia,
> to by Visa musiała sprawdzić losowy kod przydzielony przez
> bank/wydawcę, i nie pisaliby nic o algorytmie generacji CVV2 ...

Chyba zaczynasz odlatywać. Robiłeś ty kiedykolwiek, cokolwiek
kryptograficznego?



KJ

--
http://wolnelektury.pl/wesprzyj/teraz/
Vests are to suits as seat-belts are to cars.

do góry

W dniu 16.07.2025 o 14:09, ąćęłńóśźż pisze:
> Wyobraź sobie sytuację pierwszą z brzegu: kupujesz coś z tabletu bez sim
> działającego pod wifi.
> Aplikacja bankowa (przynajmniej tego banku wg dezinfolinii) nie działa
> aktywnie pod wifi, potrzebuje sim (bez sim możesz sobie pooglądać
> obrazki i poczytać cyferki).

A jak zatwierdzasz transakcję (3d-cośtam) jeśli nie w aplikacji i nie
przez sms?

MJ

do góry

On Wed, 16 Jul 2025, ąćęłńóśźż wrote:

>> Tylko tak się zastanawiam z tym środkiem niczego...
>> Bo dzisiaj chyba też nie miałeś internetu, a ten post to telepatycznie się
>> pojawił.
>> No jeszcze można sobie wyobrazić robienie zamówienia "mail order" przez
>> Overland Pony Express...
>> Ewentualnie "telephone order" w miejscu, gdzie linia telefoniczna jest, ale
>> tzw. "internetu" bez stacji starlinka lub innego telefonu satelitarnego
>> jednak nie uświadczysz?

> Wyobraź sobie sytuację pierwszą z brzegu: kupujesz coś z tabletu bez sim
> działającego pod wifi.
> Aplikacja bankowa (przynajmniej tego banku wg dezinfolinii) nie działa
> aktywnie pod wifi, potrzebuje sim (bez sim możesz sobie pooglądać obrazki i
> poczytać cyferki).
> Zrozumiał?

No przecież pisałem, że masz przedziwne gusta i/lub szczęście.
Tzn. to absolutnie nie jest krytyka, bo ja też takie mam, ale krytykuję
to, że chcesz rozciągać to na masy pracujące miast i wsi.

> Albo wziąłeś viagrę i chcesz panience zapłacić lub zonie kolię kupić, a tu
> nagle w banku trzeba przejść procedurę nadawania nowego cvv i viagra poszła
> się nomen omen j...ć ;-)
>
> BTW zrób doktorat z apek bankowych bez sim ;-)

Tzn.?
Napisz w końcu, co to za bank albo parabank, to się będzie można odnieść.
Tablet sam w sobie to jest nieco inna historia, bo są apki, które się z
tabletami nie lubią, nawet z takimi z modemem GSM, i nie chcą się na nich
instalować ze sklepu google play (albo kiedyś było spoko, a potem
przyszła nowa ekipa i przestawało działać) - ale czasem się dają z APK.
Może ma to związek z niemożliwością wykonywania połączeń telefonicznych.
Ale jak już się apkę dało zainstalować i aktywować, to potem można było
używać przez wifi.

Ale mam telefon - używany do apek, bo ma pękniętą szybkę (po żonie), ale
nowszy android niż ten, który mam w telefonie, który noszę (ten długo
leżakował w szufladzie, ale jeszcze daje radę - oba to prezenty od citka,
jeszcze poprzedni oraz obecny żony również, a obecnie robimy promocję na 2
kolejne), więc mam w nim całą kolekcję apek (bo są już takie, dla których
android 8.1 jest za stary), a karty SIM nie widział od lat - i wszystkie
działają przez wifi.
Może dlatego, że to wifi jest via mój telefon, więc adres z puli GSM?
Albo używam normalnych banków, bo wszystkie te apki dało się aktywować bez
stójek z przewieszką - a pamiętam hakowanie w krwawym pocie żeby zwalczyć
dawne durne pomysły utrudniające życie w sytuacji, gdy chciało się
zainstalować apkę na urządzeniu, w którym nie było karty SIM z przypisanym
numerem telefonu podanym w banku.

> Bo mogą nie mieć racji.
> No może da się przeglądarkę odpalić z systemem banku.

No, zmienne CVx2 powinno się dać w ST przeglądarkowym wygenerować, inaczej
kiszka gigantyczna, to nie blik, co do którego większość banków uparła się
chrzanić głupoty o "powiązaniu z apką" - choć santander potrafi w ST
wystawiać czeki, a ING kody.

Choć chyba są banki, które mają tylko apkę.
A przynajmniej na pewno są takie, których bez apki nie da się używać - np.
N26, w którym co prawda do ST zalogujesz się z potwierdzeniem SMSem (chyba
jeszcze, ostatnio ta możliwość była coraz bardziej ukrywana), ale co z
tego, że nawet możesz zlecić przelewy, skoro potwierdzić można je tylko w
apce?

Są też takie, które robią głupie szykany przeciwko SMS, np. milek, gdzie
maksymalny dzienny limit przelewów przy potwierdzeniach SMS to 50k, a z
apką 200k.
Albo żubr, gdzie SMSy są płatne po 20gr - kiedyś mi oddawali, jak byłem
pełnomonicnikiem taty, i nie mieli zaprogramowane, że pełnomocnik płaci
tak jak mocodawca - a wtedy jeszcze nie miałem własnego konta, bo jakbym
miał to mogli mi nie oddać.

Albo może da się odsłuchać to aktualne CVx2 przez telefon?
I jak ono jest właściwie zmienne?
Per dzień, per transakcja?

do góry

W skarbonce można kod wyświetlić na stronie, z tym, że trzeba
potwierdzić "narzędziem autoryzacji" - ale to może być sms.

Kod jest np. w tej chwili ważny do 6 rano.

Ale transakcję też trzeba potwierdzić, więc bez karty sim nic nie
kupisz, nawet gdyby kod był stały.

A zauważyliście, jaka jest kolejność weryfikacji przy płatności? Otóż
najpierw się przechodzi przez to całe 3d z zatwierdzaniem, a dopiero
POTEM jest sprawdzany ten kod. Jakoś wydaje mi się to bez sensu.

MJ

do góry

On Wed, 16 Jul 2025 14:09:07 +0200, ąćęłńóśźż wrote:
> Wyobraź sobie sytuację pierwszą z brzegu: kupujesz coś z tabletu bez sim
działającego pod wifi.
> Aplikacja bankowa (przynajmniej tego banku wg dezinfolinii) nie działa aktywnie pod
wifi, potrzebuje sim (bez sim możesz sobie
> pooglądać obrazki i poczytać cyferki).

A która to aplikacja?

ipko potrzebuje sim na czas pierwszej aktywacji .. tylko

> Zrozumiał?
> Albo wziąłeś viagrę i chcesz panience zapłacić lub zonie kolię kupić, a tu nagle w
banku trzeba przejść procedurę nadawania nowego
> cvv i viagra poszła się nomen omen j...ć ;-)
>
> BTW zrób doktorat z apek bankowych bez sim ;-)
> Bo mogą nie mieć racji.
> No może da się przeglądarkę odpalić z systemem banku.
>
>
> -----
>> Tylko tak się zastanawiam z tym środkiem niczego...
>> Bo dzisiaj chyba też nie miałeś internetu, a ten post to telepatycznie się
pojawił.
>> No jeszcze można sobie wyobrazić robienie zamówienia "mail order" przez Overland
Pony Express...
>> Ewentualnie "telephone order" w miejscu, gdzie linia telefoniczna jest, ale tzw.
"internetu" bez stacji starlinka lub innego
>> telefonu satelitarnego jednak nie uświadczysz?

J.

do góry

On Wed, 16 Jul 2025, Michał Jankowski wrote:

> W skarbonce można kod wyświetlić na stronie, z tym, że trzeba potwierdzić
> "narzędziem autoryzacji" - ale to może być sms.

No to widać że ąćki jak zwykle tworzy problemy rodem z socjalizmu.
Chyba że znalazł sobie jeszcze coś innego niż skarbonkę.
A w skarbonce wszystkie karty mają już obowiązkowo zmienne CVx2 czy można
to sobie włączyć/wyłączyć?
Akurat apki skarbonkowej nie mam - no i kart też nie mam, inteligo leży
sobie odłogiem, nawet już przestałem robić co pół roku ping-pongi na
grosza, żeby mi znów rachunków za "brak aktywności" nie zamknęli -
przestało mi się chcieć sprawdzać, czyj koniec będzie wcześniej - mój czy
ich ;)

> Kod jest np. w tej chwili ważny do 6 rano.

O, to trzeba było sprawdzić o 4, do której będzie ważny ;)
Może generują na 8 godzin?

> Ale transakcję też trzeba potwierdzić, więc bez karty sim nic nie kupisz,
> nawet gdyby kod był stały.

Dlaczego "bez karty sim nic nie kupisz"?
Właśnie o to chodziło, że apka nie chce działać przez wifi, jeśli w
urządzeniu nie ma karty sim.
A "normalne" apki pozwalają na potwierdzanie "apkowe" mając dowolne
połączenie "internetowe".
Zaś ta ąćkiego nawet mając "internet" przez wifi, podobno wymaga dodatkowo
karty sim w telefonie, i to jeszcze aktywnej (choć nie wiem, czy to akurat
sprawdził - albo czy w ogóle ten jego tablet ma modem GSM).

> A zauważyliście, jaka jest kolejność weryfikacji przy płatności? Otóż
> najpierw się przechodzi przez to całe 3d z zatwierdzaniem, a dopiero POTEM
> jest sprawdzany ten kod. Jakoś wydaje mi się to bez sensu.

To ma sens - sprawdzana jest poprawność całego zestawu haseł.
No chyba że jest na tyle głupio, że jeśli na etapie 3DS źle podasz kod to
od razu wyskakuje błąd.
No ale to jest do usprawiedliwienia - 3DS to kody zmienne.
Ale gdyby najpierw było sprawdzane czy podałeś prawidłowy CVx2 - i w razie
podanie złego wyskakiwał błąd, to jest wektor ataku - w końcu CVx2 to
tylko 1000 kombinacji i jeśli bank nie zastrzeże karty po np. 10. błędnym
podaniu CVx2, to można go w ten sposób odnaleźć.

Hmmm, tak się zastanawiam i karty citka zawsze chcą 3DS, ale santander MC
chyba nigdy (a co ciekawe, visa santandera chyba też zawsze, nawet o to do
nich pisałem reklamację, czemu robią sobie takie jaja, odpowiedź
oczywiście spodziewanej treści: "bo tak i tak ma być, bo tak jest
dobrze"), więc właściwie mam kartę, która może być podatna na taki atak.

Ale jakby człowiek wpadł na głupi pomysł, żeby samemu sprawdzić, to,
słuchajcie dzieci wujka i zapamiętajcie, lepiej niech sobie przypomni
historię jednego francuza, który znalazł poważną dziurę w
zabezpieczeniach takiego francuskiego systemu kartowego "carte blue" (czy
jakoś tak) - i jako porządny obywatel (ale bynajmniej nie grażdanim
sowieckiego sojuza, czyli nastojaszczy sowiecki człowiek) napisał do nich,
że mają taki bug.
A francuzi jako to oni: "wcale nie, co ty mi tu kulwa będzie p*olił,
wszystko jest super cacy i nie przeszkadzaj w piciu wina" - no to ten się
wkurzył (widać jakiś pseudo-francuz, zapewne z polską domieszką, być może
ze źródłem z dywizji gen. Maczka - a to podobno nierzadkość, jako
pamiątki z pochodu armii Andersa we Włoszech też się porodziło sporo
polsko-włochów - i dobrze, bo jeden mojemu wujkowi życie uratował) i
przeprowadził pokazowy atak.
I co - i zamkli go za to i wg prawa mieli rację.

Więc trzeba myśleć, co się robi.
To nie tak łatwo, jak z mistrzem Mazurem z elki PW, który kiedyś znalazł
buga w K7 i napisał do AMD, że spieprzyli, a oni mu w podobnym tonie jak
ci francuzi, tylko pewnie bez wina.
Mistrz się wkurzył i wysłał im kawałek programu, który na K7 działał źle.
Tu oczywiście sytuacja inna, AMD zaproponowało mu współpracę, a mistrz na
to, że nie ma czasu ;>

do góry

"J.F" <j...@p...onet.pl> writes:

> Google ma podobno scianę "Lava lamp" do generacji kluczy.

Tzn?

> To nie jest (pseudo) losowa liczba, tylko wynikła z innych cyferek na
> karcie. Więc żadne zabezpieczenie.

A jakiś dowód lub coś w tym kierunku? No wiem, czepiam się :-)

BTW każdy bank może po swojemu generować kody CVV*.
To oznacza, że w ogólnym przypadku nie da się stwierdzić (twierdzenie
nie miałoby sensu), czy w danym przypadku to jest PRNG, czy "prawdziwy"
RNG, czy rzeczywiście coś wyjątkowo wadliwie zaprojektowanego.

Poza tym, istnieją zmienne CVV2 :-)

> -czyli cykliczne obciążenia się robi bez CVV2 ...

No raczej.
--
Krzysztof Hałasa

do góry