MasterCard no revelar quién filtró los datos de mi tarjeta

Question

Recientemente fue informado, por el procesamiento de pagos de la agencia de mi banco, para que una tienda online que estaba comprometida, y que como medida de precaución, mi tarjeta de crédito MasterCard estaba congelado y reemplazado. No hubo cargo fraudulento.

He preguntado a mi banco que tienda en particular se ha visto comprometida, pero se le dijo que ellos no reciben esta información de MasterCard por razones de privacidad.

Siento que tengo derecho a saber donde mi información privada se filtró. Influye en mis decisiones como consumidor. Además tengo que considerar la posibilidad de que otra información privada de mayo también se han filtrado. La privacidad argumento parece el pretexto.

Es común para retener este tipo de información de los clientes afectados? ¿Hay más formas de averiguar más acerca de lo que pasó?

Nota: no he podido hablar con cualquiera de MasterCard, todos los intentos fueron reenviados automáticamente a el banco.

Answer 1

Como se indica en los comentarios, esta es una práctica común en los estados unidos como en la unión europea. Por ejemplo, en este Negocio de la Fox artículo, un usuario tenía básicamente el mismo de la experiencia: su tarjeta fue reemplazado, pero sin el comerciante específico de ser revelada. Cuando el reportero contactó con Visa, les dijo:

"También creemos que el interés público es mejor servido con rapidez notificar a las instituciones financieras con la información necesaria para protegerse a sí mismos y a sus titulares de las pérdidas por fraude. Incluso un ligero retraso en la notificación a las instituciones financieras podrían ser costosos," el portavoz dijo en una declaración del e-mail. "Visa trabaja con la incumplido la entidad para recabar la información necesaria y provee el pago de los emisores de tarjetas con los afectados números de cuenta para que puedan tomar medidas para proteger a los consumidores a través de independiente de control de fraude, y si es necesario, volver a emitir tarjetas. La mayoría de la información importante y necesaria es la de las cuentas afectadas, que tipo de Visa trabaja para proporcionar tan pronto como sea posible."

Lo que no dicen, por supuesto, es que en la Visa de los mejores intereses para que los comerciantes dejen de Visa saber de inmediato cuando se produce una fuga, sin tener que pensar si va a tornillo de que el comerciante más en la prensa. Si el comerciante tiene que considerar el PR, que no puede dejar que las redes de saber oportuna de moda - al menos pueden esperar hasta que se haya verificado el tema en más detalle, o incluso esperar hasta que se ha encontrado que para el pin para que no se echan la culpa.

Pero más allá de eso, el punto es que es más fácil para la red (Visa/Mastercard/etc.) tener un sistema que es solo una lista de números de tarjetas de presentar al banco para su re-emisión; allí nadie realmente se preocupa que el comerciante tiene la culpa, ellos solo quieren volver a emitir las cartas de forma rápida. Hacerle saber que la culpa es independiente. Hay poca razón para que el banco emisor para que nunca se sabe; usted debe encontrar a cabo por el comerciante o la red (y en mi experiencia, normalmente el primero).

Finalmente, puede también encontrar en el artículo sugieren que:

[T]él la situación es común, pero hay algunas buenas noticias: los consumidores, en muchos casos, encontrar la fuente de la violación.

Pero, por supuesto, no entra en detalle acerca de los números.

Answer 2

He encontrado un artículo en alemán que describe la situación legal en Alemania. Para resumir

• El "Bundesdatenschutzgesetz (BDSG) § 42a Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten" más o menos la Ley de Privacidad: la Obligación de informar sobre el tráfico ilegal de obtención de información que regula esta situación.
• Información de tarjeta de crédito se incluye explícitamente en la ley (§ 42 a 4).
• Condición 1: debe estar muy probable que un tercero ha obtenido la información y las necesidades de la compañía para saber que.
• Condición 2: se necesita un grave impacto negativo en los afectados. El riesgo de la evaluación de este correctamente es con la empresa.
• El afectado debe ser informada de forma inmediata, pero sólo después de que las medidas de contador se realizan y a la investigación penal no está en peligro de extinción.
• La divulgación debe dar a los afectados una pista sobre la forma en que la información fue obtenida ilegalmente, y las medidas para mitigar las posibles consecuencias. El afectado se sabe que y que la información que se filtró a los forasteros.
• Si no sería factible para informar a cada uno de los afectados, en particular debido a que hay muchos, que también pueden informar al público a través de al menos dos de media página en los anuncios de periódico o similar.

Como se indica por las muchas posibles razones por las que en la otra respuesta, es claro a partir de la información que tengo, si la condición 1 se mantiene. También la condición 2 no pueden sostener desde la tarjeta de crédito fue congelado.

Supongo que esto hace que un buen argumento para MasterCard y mi banco, pero también sospecho que no será la atención a menos que venga con un abogado de membrete.

Answer 3

Otros ya han comentado sobre el impacto de todo lo que disuade a los comerciantes a partir de la recaudación de posibles incumplimientos, así que no voy a detenerme en eso. Tal vez necesitamos una legislación más, tal vez no, pero no cambia la respuesta de hoy. A menudo funciona de manera inversa a lo que se podría esperar - en lugar de darse cuenta de comerciante y de la notificación de Visa/MC/otros, Visa/MC/otros detectar patrones de actividad sospechosa (ejemplo 1).

No tengo datos sobre el número relativo de que está siendo notificado/notifica entre los comerciantes y procesadores de pago, pero en el momento de su tarjeta se identifica como comprometidos no hay ninguna razón para suponer que un comerciante individual en el sentido tradicional ha sido comprometida, mucho menos identificado. De hecho, debido a que hay un rápido movimiento de investigación que incluso podría ser una falsa alarma, que llevó a su tarjeta de llegar cancelado. Por el contrario, ésta podría ser una muy compleja multinacionales de investigación que se pondría en peligro.

Simplemente no es seguro asumir que simplemente "marca X" ha sido comprometida, por lo tanto, todo lo que "marca X" sabe acerca de usted también se ve comprometida:

1. Podrían ser sistemas independientes, por lo que sólo CC info involucrados
2. Podría ser sus aguas arriba de procesamiento de pagos del contratista (y por implicación a todos los otros comerciantes con la misma configuración, ejemplo 2 , pero creo que sagepay/worldpay/paypall etc. en el mundo online)
3. (No relacionados con en línea mucho) podría ser un franquiciado de una gran franquicia
4. Ellos pueden no saber que tienda en línea, simplemente el tipo de datos adjuntos en un "vertedero" indica que es probable que el ser en línea, pero lo único que se conoce hasta el momento es que su número de tarjeta se había presentado en algún lugar

Además, no hay ninguna razón para suponer que el comerciante incluso ha admitido, o descubrir la causa raíz. MC/Visa/Bancos, en el punto en el que están la cancelación de cartas, simplemente no se puede decir (al menos no en una forma que podría caro contraproducente que involucra a un montón de abogados) debido a que el estándar de prueba necesarios para ir en registro de culpar a alguien es simplemente que no se ha cumplido todavía.

Así que: sí, es común que no le dije nada por todas las razones anteriores. Y por supuesto, si usted realmente quiere saber más puede que tenga algo de éxito con su local de la legislación de protección de datos y formalmente realizar una petición de acceso (o el equivalente local) para ver lo que trae de nuevo. Asegúrese de hacerlo por escrito, a la dirección oficial de ambos mastercard y el banco.

Answer 4

Si usted realmente quiere saber, demandar a ellos.

Archivo de un John Doe demanda "el demandante, a ser determinado", y luego citación de la información relevante de Mastercard. John Doe no countersue, así que estamos bastante seguros de hacer esto.

Pero probablemente no funcionarán. Mastercard podría anular la citación. Ellos afirman que carecen de legitimación para demandar a cualquier persona porque usted no tuvo una pérdida (que es un punto justo).

Esto es la guerra total. Amy Waffles no es el enemigo.

Ellos, después de la gente que hace la piratería, y las brechas de seguridad que hacen que la piratería sea posible. Y cómo esos vacíos surgir entre las empresas tratando de hacer su mejor esfuerzo. Es un difícil problema.

Y me he hecho el abuso de las guerras profesionalmente. OpSec es una gran oferta. Usted simplemente no puede revelar sus métodos o incluso mucho de sus resultados, debido a que se exponga demasiado de su método de detección. La horrible verdad es que los malos no son, que lejos de ganar, y de la captura de ellos depende de ellos imprudentemente utilizando el mismo conoce las técnicas de una y otra. Cuando usted consigue realmente una técnica novedosa, que cuesta una fortuna en tiempo de ingeniería para desentrañar lo que hicieron y construir defensas contra ella. Si tal vez el 1% de los ataques son de este, es manejable, pero si se tratara de un 10%, usted simplemente no puede el personal de ejecución brazo lo suficientemente grande - el personal capacitado no existen para contratar (a menos que usted les roban de Visa, Amex, etc.)

Tanto como te gustaría decirle al público, créeme, me gustaría tener algo de crédito por lo que he hecho, que no puede decir mucho o que educar a los chicos malos, y luego mucho más difícil problema más adelante. Lo siento! Sé lo frustrante que es!

Cómo puede ocurrir esto - no Amy culpa

Las compañías de tarjetas de crédito elaborado PCI-DSS (payment Card Industry Data Security standard). Este es un conjunto básico de normas de seguridad y las prácticas que deben hacer hacking raro. El cumplimiento es posible (no es fácil), y si lo hace, usted está fuera del gancho. Esta es una manera de Amy pueden ser totalmente no tiene la culpa.

Ejemplo borradas por la longitud, pero como un pequeño negocio, usted no puede ser un PCI experto en seguridad. Debe confiar en los compromisos de los demás para hacer un buen trabajo, como la de su banco y de la cuenta de comerciante vendedor. Hay muchas maneras en que esto puede salir mal, que simplemente no son su culpa.

En cuanto a la noción de decir: "se ven afectados de Amy clientes pero fue Doofus el contratista de la culpa", que no funciona, el Internet lynch mob no escuchar los detalles y va a matar a Amy de negocios. Entonces ella está demandando a Mastercard para la luz falsa, un tipo de defamtion no son los hechos verdaderos, pero se enmarcan en falso. Y la difamación tiene mucho más graves consecuencias en Europa.

De todos modos, incluso un negocio no es culpable tiene que pagar por una PCI-DSS de auditoría. Un negocio culpa tiene muchos más problemas, al menos el pago de $50 y el 90 por cliente para reemplazar sus tarjetas. El simple hecho es que el 80% de las empresas en esta situación van a la quiebra en este punto.

Que la violación de los datos puede no ser tan malo

Generalmente los estafadores hacen ataques automatizados mediante el uso de scripts que ha recibido de otros. Sólo un par de docenas de ataques (en los sitios) a tener éxito, y luego utilizar otras secuencias de comandos para interceptar los datos de pago, que es todo lo que quiero. Ellos son el cortador de la galleta de secuencias de comandos, y no son personalizadas para cada sitio, y no puede ir después de lo de los datos personales es particular a ese sitio. Así, en la mayoría de los casos todo lo que reciben es los datos de pago.

También es probable que los datos primarios, como una nube de la unidad, colección de fotos o registros médicos, se mantienen en sistemas completamente independientes con zona de seguridad, raro hack ambos a la vez, incluso si el hacker está dispuesto a poner montones y montones de ingeniería de esfuerzo en él. La mayoría de los hackers son los script kiddies, capaz de ejecutar scripts de otros, pero no puede trabajar en su propio.

Así que es probable que "nada se pierde" es la razón por la que no le dan la notificación de la fuga de información privada.

Por último, no pueden conseguir lo que no ha subido. Sitio de la piratería es un fenómeno bien conocido. Una persona que se preocupa por la privacidad es cauteloso para no poner las cosas en línea que son muy riesgosas.

Es posible también que esta es ciego conjeturas por parte de Visa/MC, y no han identificado positivamente a cualquier comerciante, pero están reemplazando sus cartas de una abundancia de precaución.