credit – Page 2 – Gea-Suan Lin's BLOG

各家 Session Replay 服務對個資的處理

Session Replay 指的是重播將使用者的行為錄下來重播，市面上有很多這樣的服務，像是 User Replay 或是 SessionCam。

這篇文章就是在討論這些服務在處理個資時的方式，像是信用卡卡號的內容，或是密碼的內容，這些不應該被記錄下來的資料是怎麼被處理的：「No boundaries: Exfiltration of personal data by session-replay scripts」，主要的重點在這張圖：

後面有提到目前防禦的情況，看起來目前用 adblock 類的軟體可以擋掉一些服務，但不是全部的都在列表裡。而 DNT 則是裝飾品沒人鳥過：

Two commonly used ad-blocking lists EasyList and EasyPrivacy do not block FullStory, Smartlook, or UserReplay scripts. EasyPrivacy has filter rules that block Yandex, Hotjar, ClickTale and SessionCam.

At least one of the five companies we studied (UserReplay) allows publishers to disable data collection from users who have Do Not Track (DNT) set in their browsers. We scanned the configuration settings of the Alexa top 1 million publishers using UserReplay on their homepages, and found that none of them chose to honor the DNT signal.

Improving user experience is a critical task for publishers. However it shouldn’t come at the expense of user privacy.

下一個版本的 Chrome (56) 將會對要求卡號或是密碼的 HTTP 站台標示「Not Secure」

如同之前在「Google Chrome 56 將會對 HTTP 網站標示「Not secure」」提到的規劃，Google Chrome 56 (也就是下一個版本) 將會對要求卡號或是密碼的站台標示「Not Secure」：「Chrome 56 Beta: “Not Secure” warning, Web Bluetooth, and CSS position: sticky」。

比較九月的 screenshot 與最近的 screenshot，從「Not secure」變成「Not Secure」了... 這是九月的：

而這是最近的：

可能是這樣標示會讓使用者更有警覺？

信用卡的先天缺陷造成盜刷問題

在「Guessing Credit Card Security Details」這邊看到的攻擊手法，基本上無解，除非信用卡的網路交易也全面改成使用晶片...

手法其實很簡單，就是先算出一個合法的卡號，然後分兩階段攻擊取得資訊：

先去找數家只需要「卡號 + 日期」的網站，用暴力法踹出日期 (假設五年就是 60 次)。
再去找數十家需要「卡號 + 日期 + CVV2」的網站，用暴力法踹出 CVV2 (1000 次)。

所以 1060 次就擺平了... 就算所有網站都需要 CVV2，也是 60000 次的嘗試而已 (找數千個網站來踹)，算是完全可行的方案。而目前只能靠 workaround 來防止，像是需要多輸入姓名與地址之類的資訊來擋...

把 CSC (卡片背面的三碼) 變成 OTP (動態密碼)

把信用卡背面的後三碼 (Card security code) 變成動態密碼，雖然一般只會有三碼，但對於網路消費應該會有不少幫助，不過這樣就不能完全不拿出卡片了...：「This high-tech card is being rolled out by French banks to eliminate fraud」。

產品叫做 MotionCode，會先從法國開始：

Today both Société Générale and Groupe BPCE, two of France’s largest banking groups, are preparing to roll out these cards across all their customers after completing a pilot scheme last year.

然後是波蘭、墨西哥以及英國在規劃：

There are other pilots underway in Poland and Mexico, and Davis is running Oberthur’s UK operation with the hope of getting a pilot or trial started with a UK bank soon.

MasterCard 在英國被告收取過高的手續費

在「Mastercard sued for $19 billion in Britain's biggest damages claim」這邊看到的幾個重點，第一個是歐盟對國際手續費 1% 的限制：(雖然 Brexit...)

A lawyer working on the case said Mastercard charged shops fees in excess of 1 percent for card use on international transactions between 1992 and 2008.Although the EU's anti-trust regulator only ruled Mastercard's international fees were illegal, this impacted British consumers as it was the default fee used in Britain.

另外一個是兩年前的新規定：

Two years ago, the European Union capped the fees retailers pay at 0.2 percent for debit cards and 0.3 percent for credit cards.

唔... (回頭看台灣的帳單)

Linode 收 PayPal 了，只是...

Linode 宣佈支援 PayPal 了：「PayPal Payments」，只是：

While any customer can use PayPal to fund their account, new customers will still need to sign up using a credit card. You can use PayPal from then on.

而原因是：

This is in part because we don’t yet have the ability to automatically transfer funds from PayPal. If you intend on paying only via PayPal, you will need to ensure that you have enough credit on your Linode account to cover your next invoice. Otherwise, our system will attempt to collect any remaining balance from the credit card you have on file.

這理由爛爆了 XDDD

Humble Bundle 對抗信用卡盜刷的方法

Humble Bundle 說明他們如何對抗信用卡盜刷的方法，主要是不斷的降低風險，然後讓人介入的機會降低 (因為人事成本很高)：「How Humble Bundle stops online fraud」。

其中第一點是特別想提的：

Our first line of defense is a machine-learning-based anti-abuse startup called Sift Science, which we’ve been training for years across 55,000,000 transactions. Given how many orders we process, Sift Science has a really good idea when someone is up to no good. The model adapts daily as we get more data.

Sift Science 在 2014 的時候提過：「偵測信用卡交易是否為盜刷的服務」。做的事情很簡單，你把大量的資料傳給 Sift Science，包括了各種使用者身份資訊，以及信用卡資料，Sift Science 可以透過 Machine Learning 的方法告訴你這筆交易的風險，讓你進一步的判斷。

其實不少家都有做類似的服務，像是 MaxMind 的 minFraud (就是做 GeoIP database 很有名的那家公司的另外一個產品)。當交易量很大的時候是個很有趣的應用，降低處理盜刷後續處理的成本。

超強的萬用信用卡 Plastc 的原型工程版出來了...

剛剛收到 Plastc 通知信說他們更新消息，有 prototype 的示範影片可以看了：「Plastc Prototype in Action」。

先看他們之前的宣傳影片：

而這是工程版的 prototype 示範影片：

比起以前嘴砲來的可信度高多了，雖然還是很有可能沒出貨...

Pre-order (預購) 是 USD$155，而寄到台灣要多加 USD$10 的費用，所以是 USD$165。我就當跟當初買挖礦機的風險一樣好了，沒預期會拿到東西。

如果你有興趣，而且也願意承擔最後有可能沒出貨的風險，可以用我的連結購買：https://share.plastc.com/x/NO0S0J，我跟你都會拿到 USD$20 的好處：

They’ll receive a $20 discount when they pre-order Plastc, and you’ll receive a $20 Amazon gift card with your Plastc Card.

Update：補充其他人對這個產品的反面看法。

@gslin 磁條不安全所以已經慢慢沒在用了，晶片的部分網頁也有註記還沒啟用。其他同類型的產品也都卡在 emv 的功能。疑惑的是如果晶片能複製不是很奇怪，如果要跟 apple pay 一樣那又必須要各家銀行談合作。覺得現在買這種卡之後不能用的風險很高。

— Yung S. (@kaxing) March 11, 2016

四位數密碼的分佈

分析信用卡四位數密碼的分佈：「PIN number analysis」。

透過已經外洩的資料分析：

Obviously, I don’t have access to a credit card PIN number database. Instead I’m going to use a proxy. I’m going to use data condensed from released/exposed/discovered password tables and security breaches.

19xx 那邊特別高，拉出來看可以看到分佈：(很像是出生年 XDDD)

相同的 abab (前兩碼與後兩碼相同) 也可以看出特別高，而 aaaa (四碼都一樣) 的特別亮：

當不只四碼時，也有一些數據：

另外是特別高的 1004 的原因：

Many people also asked the significance of 1004 in the four character PIN table. This comes from Korean speakers. When spoken, "1004" is cheonsa (cheon = 1000, sa=4).

"Cheonsa" also happens to be the Korean word for Angel.

在網路上直接查詢信用報告

在「申請信用報告的方式」這邊可以看到：

網路查閱

自民國104年11月1日起本中心提供「個人線上查閱信用報告服務」(https://apply.jcic.org.tw)，民眾在本中心網頁以自然人憑證即可快速查閱「個人信用報告」電子檔。推廣期間六個月，不論查閱次數皆不予收費，請民眾多多利用。

不過看起來得跑 VirtualBox 之類的東西了：

註1：目前網站僅支援IE8，IE9，IE10，IE11的32位元版本IE瀏覽器，其餘種類瀏覽器無法支援。

原因在下面馬上有：

註2：請以系統管理員的權限安裝ActiveX元件，使用其他權限有可能無法安裝完成。

另外在這邊看到：

嗯...