הפרדוקס

פרדוקס (חוסר) אבטחת המידע של ויזה כאל

Posted by: adm@n on: 19 במרץ 2011

התפתחות: מרכזי השירות והתמיכה הטכנית של ויזה כאל לא עובדים בפורים, בזמן ששאר העולם כן. לכן, לא היה מי שיעזור לי.

רכשתי את הכרטיס במקום אחר בהפרש של 40 יורו, לא פחות ולא יותר.

____________________________________________________________

יש לי כרטיס אשראי של ויזה, אשר ניתן לעקוב אחריו בנוחות באמצעות אתר האינטרנט של ויזה. אבל יש לי בעיה רצינית עם ויזה כאל כבר מספר שנים והיום נתקלתי בתוצאה הכי מרגיזה של הראשים הכנראה לא מאוד מבריקים במחלקת האינטרנט אבטחת המידע:

1. ויזה כאל מכריחים אותי לטמטם את הסיסמאות שלי – בימים אלו, כמעט כל אתר אינטרנט תקין מעודד אותך לקבוע לעצמך סיסמת login מסובכת אך זכירה. זה בכל זאת הא'-ב' של אבטחת מידע אישי באינטרנט. אבל ויזה בשלהם כבר מספר שנים – לא מאפשרים לצרף תווים כמו &*^ וכו' כדי לסבך את הסיסמה שעלולה לאפשר לכל אחד שליטה מוחלטת על כרטיס האשראי שלי – לא, הם דורשים סיסמה הכוללת אותיות באנגלית ומספרים בלבד. נוסיף לכך את העובדה שהם מגבילים את אורך הסיסמה ל-8 תווים וכל גיק ממוצע כמוני מיד ירגיש שהוא מנהל את הכספים שלו בכספת חצי פתוחה.

2. ניגשתי להזמין היום בערב כרטיס להופעה בחו"ל מאתר אירופאי – מהר מהר, ביום שבו החלה המכירה כדי שלא ימכרו כל הכרטיסים, כי כבר שילמתי על מלון וטיסה. הכנסתי את פרטי כרטיס האשראי באתר האירופאי המאובטח, והפלא ופלא צץ לי מסך של ויזה כאל, בעברית והכל – Verified By Visa. זה שירות חדש שמעולם לא שמעתי עליו,שדורש ממני להתחיל ולסיים תהליך רישום לחשבון נפרד של ויזה כאל מזה שכבר ישלי, כדי לסיים את התשלום.לאחר שאעשה זאת השירות אמור "לאבטח" את הרכישה שלי (איפה הייתם עד היום?).לחיצה על לחצן על ה"לא תודה" מחזירה אותי לעמוד התשלום עם ההודעה שמציינת שלא ניתן להשלים את הרכישה. התעצבנתי – אבל בסדר, מה רע בעוד קצת אבטחה, למרות שזה עיכב והרגיז אותי (למה להכריח? ואם לא בא לי?).

כך זה נראה ויש גם את ה-URL של שירות שנראה לי כמו צד ג' בנושא שלא ברור לי מדוע אני מוסרת לו את פרטיי:

 

אוקיי, ננסה שוב. ביצעתי הרשמה –ושוב מכריחים אותי להשתמש בסיסמה שגורמת לי להרגיש לא מאובטת בעליל גם במנגנון המאובטח "החדיש". לוחצת על סיים. לא עובד. הפרטים פשוט לא נשלחים בחזרה לאתר האירופאי. שוב- לא עובד. שוב ושוב ושוב – לא עובד. הפרטים לא נכונים, נסה שוב. ועכשיו אני תקועה בלי כרטיס להופעה (עם כרטיסים שעלולים להגמר מחר, ואז תקועה עם טיסה ומלון מיותרים). מחלקת התמיכה של האינטרנט (שכידוע פועל 24 שעות ביממה) לא פועלת 24 שעות ביממה, והרבה ניסיונות חיוב שאני מקווה מאוד שלא חויבו.

אני לא האקרית, אבל יש פה כמה סימפטומים שעלולים להעיד על בעיה קשה יותר, בייחוד בנושא "טמטום" הסיסמאות – ושאף אחד לא יגיד לי שזה ניסיון להקל על המשתמשים כדי שיהיה קל יותר לזכור. אם הייתי הבוס של מנהל מחלקת אבטחת המידע אינטרנט הייתי צועקת קצת.

אז מה למדנו?

- תכריחו אותנו להקשיח את הסיסמאות שלכם! זה כרטיס אשראי, לא אתר הומלס.

- אם אתם מוציאים שירות חדש אל תכריחו אותי להשתמש בו, במיוחד אם לא עובד.

- מחלקת התמיכה של האינטרנט צריכה לעבוד 24 שעות ביממה, או שתכבו את הפיצ'רים שלכם ברחבי הרשת בשבת אם אין מי שיתמוך בהם (סתם).

- באתר ויזה כאל אין אפילו לחצן "צור קשר" מוחבא לתלונות. רק שעות קבלת קהל בבית ויזה כאל. נהדר.

- אם אני מפספסת את מכירת הכרטיסים בגללכם, אני אמצא דרך לגרום לכם לפצות אותי.

 

 

6 Responses to "פרדוקס (חוסר) אבטחת המידע של ויזה כאל"

זה לא רק ויזה. קרתה לי תקרית דומה עם אתר ישראכרט לפני מספר שנים. פשוט חוצפה וטימטום מצד מנהלי חברות האשראי, שבטוחים שהם המבינים ביותר באבטחת מידע ולא מפנימים משוב שמגיע ממשתמשים ולקוחות.

למידע נוסף: http://tomercohen.com/isracard-phishing

גם מדיניות הסיסמאות של הבנק הבינ"ל מטומטמת ככה. סיסמה עד(!) שמונה תווים, וללא תווים מיוחדים.
כל פעם מחדש, אני המומה מהטמטום הזה.

לפחות נותנים לשלב בין אותיות גדולות וקטנות, או שגם זה יותר מידי עבורם?

אין אפילו לחצן "צור קשר"> זה על על מנת שנחשף למענה טלפוני מתיש.
כך מנהלים אתנו מלחמת התשה מתוכננת מראש.
זוהי התנהגות של מונופול שלא שם על הלקוחות.
אני החלטתי להחרים את ויזה כאל.
רק ככה נעניש את תופשי התחת, ונעודד שיפור שירות של ארגונים שמכירים בחשיבות השירות.

VBV זו אחת הדרכים של חברות אשראי ואתרי הסוחרים לספק אבטחה משופרת ללקוחות.
את מתלוננת על חוסר אבטחה מספקת אבל באותה נשימה מתעצלת להשקיע עוד 5 שניות של מילוי הפרטים הדרושים.

הו, הגיעו הטוקבקיסטים של ויזה?
ניתן להבין בבירור שאתה התעצלת להשקיע עוד 5 שניות בלסיים ולקרוא את הפוסט – אני אכן נרשמתי, סיימתי את תהליך ההרשמה, ביצעתי את תהליך השתלום והפרטים עדיין לא נשלחו לאתר ההולנדי.
המנגנון שלהם לא עובד.
להבא, נא לקרוא לעומק לפני שמגיבים עם תחושת אינטילגנציה וגאווה.
תודה!

כתיבת תגובה

האימייל שלך לא יוצג באתר. (*) שדות חובה מסומנים

*

תגי HTML מותרים: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>


  • תומר: שלום שלום. את באה לפה הרבה?
  • גברת וורדפרס: שלום, זו תגובה.כדי למחוק תגובות, צריך רק להיכנס למערכת ולהציג את התגובות של הפוס
  • תומר: כשאני טס לחו"ל אני מוודא מראש שיהיה אינטרנט במקום בו אני אשהה (זה לא מסובך כשנמצאים