Recientemente, la agencia de procesamiento de pagos de mi banco me informó que una tienda en línea se vio comprometida y que, como medida de precaución, mi tarjeta de crédito MasterCard fue congelada y reemplazada. No hubo ningún cargo fraudulento real.
Le pregunté a mi banco qué tienda en particular estaba comprometida, pero me dijeron que no reciben esta información de MasterCard por razones de privacidad.
Siento que tengo derecho a saber dónde se filtró mi información privada. Sí influye en mis decisiones como consumidor. Además, debo tener en cuenta que es posible que también se haya filtrado otra información privada. El argumento de la privacidad parece pretextual.
¿Es común ocultar este tipo de información a los clientes afectados? ¿Hay más formas de averiguar más sobre lo que sucedió?
Nota: No pude hablar con nadie en MasterCard, todos los intentos se reenviaron automáticamente al banco.
Como se indica en los comentarios, esta es una práctica común en los EE. UU. y en la UE. Por ejemplo, en este artículo de Fox Business , un usuario tuvo básicamente la misma experiencia: su tarjeta fue reemplazada pero sin revelar el comerciante específico. Cuando el reportero contactó a Visa, le dijeron:
"También creemos que se sirve mejor al interés público notificando rápidamente a las instituciones financieras con la información necesaria para protegerse a sí mismos y a los titulares de sus tarjetas de pérdidas por fraude. Incluso un ligero retraso en la notificación a las instituciones financieras podría ser costoso", dijo el vocero en un correo electrónico. "Visa trabaja con la entidad violada para recopilar la información necesaria y proporciona a los emisores de tarjetas de pago los números de cuenta afectados para que puedan tomar medidas para proteger a los consumidores a través del monitoreo independiente del fraude y, si es necesario, la reemisión de tarjetas. La información más crítica lo que se necesita son las cuentas afectadas, que Visa trabaja para proporcionar lo más rápido posible”.
Lo que no están diciendo, por supuesto, es que lo mejor para Visa es que los comerciantes informen a Visa de inmediato cuando se produce una filtración, sin tener que pensar si va a fastidiar a ese comerciante en la prensa. Si el comerciante tiene que considerar las relaciones públicas, es posible que no informe a las redes de manera tan oportuna: al menos puede esperar hasta que haya verificado el problema con más detalle, o incluso esperar hasta que haya encontrado a quién fijarlo. para que no los culpen.
Pero más allá de eso, el punto es que es más fácil para la red (Visa/Mastercard/etc.) tener un sistema que es solo una lista de números de tarjeta para enviar al banco para su reemisión; a nadie le importa realmente qué comerciante tuvo la culpa, solo quieren volver a emitir las tarjetas rápidamente. Hacerle saber quién tiene la culpa es algo aparte. Hay pocas razones para que el banco emisor lo sepa; debe averiguarlo con el propio comerciante o con la red (y, según mi experiencia, generalmente lo primero).
Eventualmente, es posible que lo descubras: el artículo sugiere que:
[L]a situación es común, pero hay buenas noticias: en muchos casos, los consumidores descubren el origen de la infracción.
Pero, por supuesto, no entra en detalles sobre números.
Encontré un artículo alemán que describe la situación legal en Alemania. Para resumir
Como se describe por las muchas razones posibles en la otra respuesta, no está claro a partir de la información que tengo, si la condición 1 se cumple. Además, es posible que la condición 2 no se cumpla porque se congeló la tarjeta de crédito.
Supongo que esto es un buen argumento para MasterCard y mi banco, pero también sospecho que no les importará a menos que venga con el membrete de un abogado.
Otros ya han comentado sobre el impacto de cualquier cosa que disuada a los comerciantes de plantear posibles infracciones, por lo que no me detendré en eso. Tal vez necesitemos una legislación más fuerte, tal vez no, pero eso no cambia la respuesta de hoy. A menudo, funciona al revés de lo que podría esperar: en lugar de que el comerciante se dé cuenta y notifique a Visa/MC/otros, Visa/MC/otros detectan patrones de actividad sospechosa ( ejemplo 1 ).
No tengo ningún dato sobre los números relativos de quién está siendo notificado/notificando entre comerciantes y procesadores de pago, pero en el momento en que su tarjeta se identifica como comprometida, no hay razón para suponer que un comerciante individual en el sentido tradicional ha sido comprometidos, y mucho menos identificados. De hecho, debido a que hay una investigación que avanza rápidamente, incluso podría ser una falsa alarma que provocó la cancelación de su tarjeta. Por el contrario, podría ser una investigación multinacional enormemente compleja la que estaría en peligro.
Simplemente no es seguro asumir que simplemente la "marca X" se ha visto comprometida, por lo tanto, todo lo que la "marca X" sabe sobre usted también está comprometido:
Además, no hay razón para suponer que el comerciante haya admitido o descubierto la causa raíz. MC/Visa/Banks, en el momento en que están cancelando las tarjetas simplemente no pueden decir (al menos no de una manera que podría resultar contraproducente costosamente involucrando a muchos abogados) porque el estándar de prueba necesario para dejar constancia de culpar a alguien es simplemente aún no se ha cumplido.
Entonces: sí, es común que no te digan nada por todas las razones anteriores. Y, por supuesto, si realmente desea obtener más información, puede tener cierto éxito con su legislación local de protección de datos y realizar formalmente una solicitud de acceso de sujeto (o equivalente local) para ver qué trae eso. Asegúrate de hacerlo por escrito, a la dirección oficial tanto de mastercard como de tu banco.
Is it common to withhold this kind of information from affected customers? Are there any further ways to find out more about what happened?
su respuesta deambula simplemente adivinando cosas, y de repente dice 'Sí, es común' sin ningún vínculo lógico con el resto de la respuesta. Compare con mi respuesta, que cita específicamente un artículo de investigación sobre el tema exacto, o con la respuesta del OP, que cita la legislación específica.Presentar una demanda de John Doe, "demandante por determinar", y luego citar la información relevante de Mastercard. John Doe no contrademanda, por lo que está bastante seguro haciendo esto.
Pero probablemente no funcionará. Mastercard anularía su citación. Afirmarán que no tiene legitimación para demandar a nadie porque no tuvo una pérdida (lo cual es un punto justo).
Están detrás de las personas que realizan la piratería y las brechas de seguridad que hacen posible la piratería. Y cómo surgen esas brechas entre las empresas que solo intentan hacer lo mejor posible. Es un problema difícil .
Y he hecho las guerras de abuso profesionalmente. OpSec es un gran problema. Simplemente no puede revelar sus métodos o incluso gran parte de sus hallazgos, porque eso expondrá demasiado su método de detección. El hecho feo es que los malos no están tan lejos de ganar, y atraparlos depende de que usen imprudentemente las mismas técnicas conocidas una y otra vez. Cuando obtienes una técnica verdaderamente novedosa, cuesta una fortuna en tiempo de ingeniería desentrañar lo que hicieron y construir defensas contra eso. Si tal vez el 1% de los ataques son esto, es manejable, pero si fuera el 10%, simplemente no puede dotar de personal a un brazo de ejecución lo suficientemente grande: no existe el personal capacitado para contratar (a menos que los robe de Visa, Amex, etc. .)
Por mucho que le gustaría decirle al público, créanme, me gustaría obtener algo de crédito por lo que he hecho, simplemente no pueden decir mucho o educan a los malos, y luego tienen una problema mucho más difícil más adelante. ¡Perdón! ¡Yo sé lo frustrante que es!
Las compañías de tarjetas de crédito elaboraron PCI-DSS (Estándares de seguridad de datos de la industria de tarjetas de pago). Este es un conjunto básico de reglas y prácticas de seguridad que deberían hacer que la piratería sea poco probable . El cumplimiento es alcanzable (no es fácil), y si lo hace, está libre de responsabilidades . Esa es una forma en que Amy puede no tener la culpa.
El ejemplo se eliminó por su extensión, pero como pequeña empresa, simplemente no puede ser un experto en seguridad de PCI. Confía en los compromisos de los demás para hacer un buen trabajo, como su banco y vendedor de cuenta mercantil. Hay tantas formas en que esto puede salir mal que simplemente no es tu culpa .
En cuanto a la idea de decir "afectó a los clientes de Amy, pero fue culpa del contratista Doofus", eso no funciona, la mafia de linchamiento de Internet no escuchará los detalles y acabará con el negocio de Amy. Luego está demandando a Mastercard por falsedad , un tipo de difamación en la que los hechos son ciertos pero se enmarcan falsamente. Y la difamación tiene consecuencias mucho más graves en Europa.
De todos modos, incluso una empresa que no tiene la culpa tiene que pagar por una auditoría PCI-DSS. Una empresa en falta tiene muchos más problemas, al menos paga $ 50-90 por cliente para reemplazar sus tarjetas. El simple hecho es que el 80% de las empresas en esta situación quiebran en este momento.
Por lo general, los estafadores realizan ataques automatizados utilizando scripts que obtienen de otros. Solo unas pocas docenas de ataques (en sitios) tienen éxito y luego usan otros scripts para interceptar los datos de pago, que es todo lo que quieren. Son secuencias de comandos de cortadores de galletas, y no están personalizados para cada sitio, y no pueden ir tras los datos personales que son particulares de ese sitio. Entonces, en la mayoría de los casos, todo lo que obtienen son datos de pago.
También es probable que los datos primarios, como una unidad en la nube, una colección de fotos o registros médicos, se mantengan en sistemas completamente separados con seguridad separada, y es poco probable que pirateen ambos a la vez, incluso si el hacker está dispuesto a poner mucho esfuerzo de ingeniería en ello. . La mayoría de los piratas informáticos son niños de secuencias de comandos, capaces de ejecutar secuencias de comandos proporcionadas por otros pero incapaces de piratear por sí mismos.
Por lo tanto, es probable que "ninguno se filtró" sea la razón por la que no notificaron la fuga de información privada.
Por último, no pueden obtener lo que no subiste . La piratería de sitios es un fenómeno bien conocido. Una persona preocupada por la privacidad tiene cuidado de no poner cosas en línea que sean demasiado riesgosas.
También es posible que se trate de conjeturas ciegas por parte de Visa/MC, y no han identificado positivamente a ningún comerciante en particular, pero están reemplazando sus tarjetas por precaución.
tripehound
libra
TTT
libra
usuario541686
asqueroso
Tari
Tari
hmakholm sobra a Monica
Tari
Tari
usuario541686
usuario541686
Tari
usuario541686
José