עדכון: הוספנו את מספרי כרטיסי האשראי שדלפו היום (ה-5.1.2012).
המנגנון כרגע בודק מול כ-30 אלף מספרים שונים.
העמדנו לרשותכם מנגנון בדיקה פשוט ומאובטח להצלבת מספר כרטיס אשראי למול מסד הנתונים שנגנב ממספר אתרים ישראליים ופורסם ב-3.1.2012. המנגנון אינו מכיל את מספרי כרטיסי האשראי באתר שלנו – אלא מאפשר לבדוק את 6 הספרות האחרונות של הכרטיס שלכם למול hash (פונקציה מתימטית חד כיוונית) של כרטיסי האשראי שנגנבו. בכך נמנע הצורך לספק לאתר מידע רגיש. כמו כן, איננו שומרים את המידע שנבדק. פרטים על האופן בו מתבצעת הבדיקה:
- הנתונים שנחשפו עקב הפריצה אוגדו, ונסרקו לכל מספרי כרטיסי האשראי שנמצאו בהם (כל שדה רלוונטי, המכיל מספר בפורמט של כרטיס אשראי).
- סך כל המספרים אוחדו לקובץ בודד (המכיל כ-18594 מספרים ייחודיים – כולל מספרים "לא חוקיים" כמו 0000000000000000).
- מהקובץ הנ"ל נחתכו עיקר המספרים החוקיים, והושארו אך ורק 6 הספרות האחרונות מכל מספר.
- כל מספר (בן 6 ספרות) עבר תהליך גיבוב (hashing) בו הוא מופה באופן מאובטח למחרוזת של מספרים ואותיות ייחודית. התהליך בוצע תו"כ שימוש ב"זרע" (seed) על מנת לאבטח את התהליך.
- הבדיקה באתר מתבצעת מול מסד נתונים המכיל את ערכי הגיבוב (שלא ניתן להגיע מהם ל-6 המספרים המקוריים). כאשר מוזן מספר לבדיקה באתר, הוא עובר תהליך גיבוב זהה (וחד כווני כאמור), ומושווה לרשימה שבאתר. באופן זה אין חשיפה של כלל המספרים שנפרצו, ואין צורך לחשוף מידע אישי מיותר כמו כתובות דואר אלקטרוני או את מספר כרטיס האשראי המלא.
פינגבאק: הסברה: כיצד מתבצעות גניבות כרטיסי אשראי ממאגרי מידע באינטרנט | il-cert
פינגבאק: IL-CERT finally picking up speed | I Am Security