Πληρωμές Apple Pay με κλεμμένα στοιχεία πιστωτικών καρτών στις ΗΠΑ

Για «κύμα» παράνομων συναλλαγών που πλήττει το νεότευκτο σύστημα πληρωμών με iPhone, Apple Pay, κάνει λόγο η εφημερίδα Wall Street Journal σε δημοσίευμά της την Πέμπτη.

Στοιχεία κλεμμένων πιστωτικών καρτών από μεγάλες αλυσίδες καταστημάτων στις ΗΠΑ, και συγκεκριμένα τα Target και Home Depot, χρησιμοποιούνται για μεγάλες αγορές από τα καταστήματα της ίδιας της Apple στην συντριπτική πλειονότητά τους (80%), αναφέρει το δημοσίευμα της εφημερίδας.

Άγνωστο παραμένει ποιο στοιχείο του Apple Pay επέτρεψε την χρήση των στοιχείων των κλεμμένων πιστωτικών καρτών.

Εντούτοις, είναι γνωστό από τον τρόπο λειτουργία του Apple Pay πως ο αναγνώστης δακτυλικού αποτυπώματος στο iPhone δεν πιστοποιεί ότι ο επίδοξος χρήστης της πιστωτικής κάρτας είναι και ο κάτοχός της, αλλά απλώς ο κάτοχος του smartphone που εμπεριέχει τα στοιχεία της.

Επίσης, είναι γνωστό πως ο ταμίας δεν βλέπει το ονοματεπώνυμο, τον αριθμό της πιστωτικής κάρτας ή τον κωδικό ασφαλείας της κάρτας.

Ακόμα, γνωρίζουμε πως η Apple δεν ενημερώνεται για το ιστορικό των πληρωμών (τι αγόρασε ο χρήστης, από που και πόσο).

Τέλος, όταν ο χρήστης προσθέτει μια πιστωτική ή χρεωστική κάρτα στο Apple Pay, οι αριθμοί τους δεν αποθηκεύονται ούτε στην συσκευή ούτε σε διακομιστές της Apple. Αντ’αυτού, αποδίδεται ένας μοναδικός αριθμός λογαριασμού της συσκευής (Device Account Number, DAN), ο οποίος κρυπτογραφείται και αποθηκεύεται με ασφάλεια στο λεγόμενο Secure Element του iPhone (ή, μελλοντικά, στο Apple Watch).

Η εξουσιοδότηση για κάθε συναλλαγή γίνεται με έναν μοναδικό κωδικό που παράγεται κάθε φορά με την χρήση του Device Account Number. Αντί του security code στο πίσω μέρος της πιστωτικής κάρτας, το Apple Pay δημιουργεί δυναμικά έναν ασφαλή κωδικό.

Πάντως, ένα πιθανό κενό ασφαλείας είναι ο τρόπος που οι εκδότες των καρτών επιβεβαιώνουν ότι ο χρήστης της κάρτας είναι ο εξουσιοδοτημένος, όπως έχει ήδη επισημανθεί στο παρελθόν.

Reuters,In.gr Τεχνολογία