it-swarm-vi.com

Tất cả 0 (số không) trong mã CVC của thẻ ngân hàng

Thẻ ngân hàng của tôi gần đây đã hết hạn. Tôi đã nhận được một cái mới và cái này hóa ra là "may mắn": mã CVC của nó là 000 .

CVC code is 000

Trong một vài tháng, tôi đã sử dụng nó một cách rộng rãi, cả trực tuyến và ngoại tuyến, mà không gặp bất kỳ khó khăn nào - cho đến ngày tôi nhập chi tiết thẻ của mình trên Booking.com. Tôi đã điền vào biểu mẫu, nhấp vào "gửi" - chỉ để xem trang loại bỏ giá trị trong trường CVC và yêu cầu tôi nhập lại.

Tôi đã liên hệ với bộ phận hỗ trợ. Họ xác nhận rằng mã CVC "000" không được chấp nhận vì được coi là không đủ an toàn (không phải là một trích dẫn chính xác, vì cuộc trò chuyện bằng tiếng Estonia) và họ đề nghị tôi đặt mua một thẻ ngân hàng mới, nơi mã CVC sẽ khác từ "000".

Điều đó làm tôi hoang mang. Là một người thử nghiệm trước đây, tôi khá quen với các tình huống mà tôi nghĩ rằng tôi đang báo cáo lỗi và sau đó tôi được bảo đó thực sự là một tính năng, nhưng lần này nó có phần trái với lẽ thường. Công việc hiện tại của tôi cũng liên quan đến bảo mật thông tin và tôi có thể nghĩ ra ba lý do yêu cầu của họ không có ý nghĩa:

  1. CVC không chỉ là một số ngẫu nhiên, có một thuật toán nhất định tạo ra nó. Điều này, đến lượt nó, có nghĩa là tất cả các giá trị đều có thể xảy ra như nhau và một số số nhất định không thể được loại trừ khỏi nó.
  2. Tôi đã sử dụng thẻ này với một số dịch vụ trực tuyến khác, bao gồm cả Amazon Web Services, có bảo mật không còn nghi ngờ gì nữa.
  3. Tôi hoàn toàn không hiểu "không đủ an toàn" nghĩa là gì. "111" hay "999" có đủ an toàn không? Nếu không, làm thế nào về "123" hoặc "234"? Một lần nữa, đó không phải là thứ tôi tự chọn, đó là thứ tôi được ngân hàng đưa ra và nếu ngân hàng cho rằng nó an toàn, thì nó phải được xử lý như vậy.

Phản hồi của họ rất lịch sự nhưng không hữu ích: " Chúng tôi hoàn toàn hiểu sự thất vọng của bạn và chúng tôi thực sự xin lỗi vì đã gây ra sự bất tiện cho bạn. cũng là một cách các ngân hàng chỉ ra rằng thẻ là giả mạo ".

Tôi chuyển tiếp chuỗi thư đến ngân hàng của mình và xin lời khuyên của họ. Họ nói với tôi rằng họ sẽ phát hành một thẻ mới miễn phí, điều này đã giải quyết vấn đề cho tôi.

Tuy nhiên, tôi vẫn tự hỏi:

  1. Có bất kỳ quy định/đơn thuốc chính thức nào (từ Visa/MC hoặc ở nơi khác) hoặc bất kỳ thực tiễn tốt nhất nào liên quan đến mã CVC/CVV "hoàn toàn không"? Đặc biệt là một chút về các ngân hàng bị cáo buộc sử dụng 000 như một dấu hiệu của sự giả mạo - nghe có vẻ hoàn toàn vô nghĩa với tôi. Tôi đã thử googling, nhưng không thể tìm thấy bất cứ điều gì.
  2. Từ quan điểm thực tế, làm thế nào hợp lý để từ chối "000" là không an toàn? Tôi liệt kê những mối quan tâm của tôi ở trên, nhưng có lẽ tôi đang thiếu một cái gì đó?

Cập nhật : Lựa chọn chấp nhận câu trả lời nào ... Tôi thích câu câu trả lời từ Alexander O'Mara rất nhiều - nó là chi tiết và đến điểm. Bản sửa đổi mới nhất của câu trả lời của Harper cũng có vẻ rất hợp lý. Tuy nhiên, cuối cùng tôi đã quyết định chấp nhận câu trả lời của Zoey - có vẻ như có liên quan nhất, vì nó, bên cạnh mọi thứ khác, cũng làm sáng tỏ nội bộ của kinh doanh khách sạn.

Cảm ơn tất cả mọi người cho câu trả lời và ý kiến ​​của bạn! Những gì tôi sẽ làm bây giờ là liên hệ lại với bộ phận hỗ trợ của Booking.com và nhấn mạnh vào việc sửa lỗi này. Sẽ cho bạn biết về kết quả.

Cập nhật 2 : Sau vài tháng cố gắng liên hệ với bộ phận hỗ trợ của Booking.com, tôi chính thức từ bỏ. Tôi đã không đi xa hơn vô số vé hỗ trợ thậm chí không được xác nhận, chưa kể đến việc bị phản ứng và một vài cuộc gọi điện thoại nơi tôi đã giải thích tình huống và không nhận được gì ngoài một email đóng hộp "chúng tôi đang cố gắng rất nhiều khó giải quyết vấn đề của bạn ". Tóm lại: Hỗ trợ của Booking.com không hoạt động - trừ khi vấn đề của bạn rất chuẩn, nó sẽ không được giải quyết cũng như không được chuyển lên cấp quản lý cao hơn.

Lỗi vẫn tồn tại. Bây giờ tôi chắc chắn rằng đó không phải là lỗi phần mềm, vì CVC "000" hoàn toàn được chấp nhận khi bạn thêm thẻ mới , nhưng nó không sẽ không hoạt động khi bạn đang cố gắng cập nhật một thẻ hết hạn (hoặc nếu không không hợp lệ). Đây là các bước repro:

  1. Tạo một đặt phòng mới yêu cầu thanh toán ngay lập tức.
  2. Nhập thẻ không hợp lệ (hết hạn hoặc bị chặn).
  3. Khi hệ thống gửi thông báo rằng thẻ không thể được xử lý, chọn "cập nhật chi tiết thẻ" và nhập chi tiết của thẻ hợp lệ với mã CVC 000.

Kết quả dự kiến: dữ liệu thẻ được chấp nhận để xử lý thêm.

Kết quả thực tế: mã CVC đã nhập bị loại bỏ và cửa sổ hộp thoại phàn nàn rằng mã CVC không được nhập.

234
Vlad Nikiforov

Alexander O'Mara đã cung cấp câu trả lời đúng , nhưng đã làm việc trong một khách sạn đang sử dụng booking.com Tôi tin rằng tôi có thể cung cấp thêm thông tin về lý do CVV bị từ chối.

Mỗi ngày khách sạn tôi làm việc sẽ nhận được khoảng 50 đặt phòng, một phần tư số đặt phòng này sẽ sử dụng chi tiết thẻ tín dụng giả và khoảng 90% người sử dụng chi tiết thẻ tín dụng giả sẽ không xuất hiện.

Điều này dẫn đến rất nhiều phỏng đoán khi chỉ định phòng, chúng tôi thường cố gắng đoán xem người đó có xuất hiện chỉ dựa trên chi tiết thẻ tín dụng của họ hay không, và đôi khi cũng xem xét tên, địa điểm, họ sẽ ở bao nhiêu ngày, v.v. Chúng tôi cũng sẽ cố gắng gọi vào ngày hôm trước để xác nhận đặt phòng, để những đặt phòng giả này dẫn đến sự gián đoạn tối thiểu cho doanh nghiệp.

Chặn CVV 000 chỉ là nỗ lực lười biếng của booking.com để giảm lượng đặt phòng giả. Một số CVV khác cũng bị chặn.

Lý do tại sao booking.com chặn CVV và các trang web khác không phải là vì các trang web khác thường cố gắng tính phí thẻ tín dụng ngay lập tức, trong khi booking.com chỉ chuyển tiếp thông tin đến các khách sạn tính phí thẻ tín dụng vào ngày đến.

186
Zoey

Đối số yếu duy nhất tôi có thể nghĩ đến để từ chối CVV như vậy là nếu ai đó đang cố gắng ép buộc mã 3 chữ số của bạn, họ có thể bắt đầu với 000 đầu tiên (nhưng họ cũng sẽ từ chối 001?).

Từ quan điểm thực tế, làm thế nào hợp lý để từ chối "000" là không an toàn?

Nó không thực sự hợp lý. Bạn có thể sạc thẻ bằng mã CVC/CVV được cung cấp hoặc bạn không thể. Không có lý do chính đáng để từ chối mã này, vì nó hợp lệ và bạn thực sự không thể chắc chắn liệu mã của thẻ tín dụng có hợp lệ hay không cho đến khi bạn thực sự cố gắng tính phí.

Đáng buồn thay, xác nhận đầu vào được thiết kế kém là quá phổ biến. Một số nhà phát triển có xu hướng chỉ cho rằng các giá trị nhất định là không hợp lệ mà không kiểm tra thông số kỹ thuật hoặc không kiểm tra đúng đơn vị xác thực đầu vào của họ.

Một số ví dụ bao gồm:

  • Địa chỉ IP 1.1.1.1
  • Kiểm tra phiên bản lỗi như "10" <"9" nếu chỉ có ký tự đầu tiên trong chuỗi đang kiểm tra
  • Tên có ký tự không phải alpha (như dấu nháy đơn trong tên của tôi)

Cũng không có gì lạ khi những người trong dịch vụ khách hàng sẽ phản hồi các báo cáo lỗi của bạn bằng một câu "không phải là lỗi, đó là một tính năng" mà không hề hỏi ý kiến ​​các nhà phát triển.

147
Alexander O'Mara

Đây là một thách thức đối với các khiếu nại của công ty. Một số ngẫu nhiên trong phạm vi 000-999 an toàn hơn 001-998, từ chối các giá trị làm suy yếu nó .

Đó là một lỗi phần mềm. Họ không thể thừa nhận điều đó.

Chỉ cần một ví dụ: giả sử, ở đâu đó trong ngăn xếp, họ sử dụng ngôn ngữ với các biến chưa được gõ (nghĩa là trong đó cùng một biến có thể chứa 123,45, "trễ cho bữa tối", chuỗi 0 ký tự, mã thông báo "không xác định", v.v.). Nó là phổ biến để viết này:

if ($CVC) # is CVC field present?

Trong một ngôn ngữ chưa được đánh dấu, một chuỗi trống ước tính thành 0 (sai) như lập trình viên dự định, nhưng 000! Có nhiều cách tốt hơn để làm điều đó.

Trong trường hợp này, chúng tôi biết vấn đề không nằm ở giao diện người dùng web công khai mà bạn sử dụng, mà là ở nền tảng back-end mà cả hai bạn chia sẻ. Các đại lý nên mở một lỗi trên nó trong hệ thống bán vé.

Vậy tại sao họ yêu cầu những gì họ nói? Bởi vì các doanh nghiệp bình thường rất miễn cưỡng thừa nhận loại lỗi cấu trúc này khiến họ trông không đủ năng lực. Nhưng họ cũng không thể gửi cho bạn bằng một "Tôi không biết", vì điều đó có tác động tương tự. Vì vậy, họ cần nói điều gì đó với bạn ngay bây giờ mà cảm thấy có thể bán được cho họ.

Rõ ràng đó là sai; như đã được chứng minh bởi tất cả những người khác mà bạn kinh doanh không có vấn đề gì với nó. Nhưng hãy tự mình thử nó; hãy thử một nền tảng đặt phòng cạnh tranh và xem nó diễn ra như thế nào.

92

Tôi hiện có một thẻ tín dụng được cho là có số CVV tệ hơn: 123

Cho đến nay nó chưa bao giờ bị từ chối, nhưng từ quan điểm bảo mật, tôi không thích nó vì tôi cảm thấy rất có thể đó là điều đầu tiên một tên trộm sẽ gõ nếu bằng cách nào đó chúng có số của tôi nhưng không phải thẻ của tôi.

Từ quan điểm của trang web, IMHO sẽ cố tình coi một số hợp lệ là không hợp lệ. (Thậm chí nhiều hơn nếu cơ hội xảy ra chỉ là 1 trên 1000.) Vì trang web sẽ rất dễ dàng để thực hiện một ủy quyền rất nhỏ để xác nhận thẻ tín dụng hoặc thậm chí để khách sạn tự quyết định, tôi không ' t đồng ý với lập luận "ngăn chặn số giả". Điều đó đang được nói, một tìm kiếm nhanh mang lại khá nhiều người có cùng một vấn đề trên các trang web khác nhau trong những năm qua. Vì vậy, bạn không đơn độc. :)

10
TTT

Công bằng mà nói, có hàng chục ngàn hệ thống đặt phòng khách sạn mà booking.com phải chuyển thông tin để họ xử lý. Tôi tin rằng booking.com có ​​thể đủ khả năng cho một nhà phát triển biết rằng (000) == FALSE trong JavaScript ... nhưng có đáng để họ dành thời gian hỗ trợ để chẩn đoán chính xác lỗi cho hàng trăm khách sạn có thể có lỗi này không hệ thống đặt phòng? Tuyệt đối không.

Tôi đoán rằng đây thực sự là một nỗ lực khá hợp lý để giảm thiểu các lỗi xử lý dữ liệu xảy ra sâu hơn trong chuỗi và trong các hệ thống nằm ngoài tầm kiểm soát của booking.com.

Là một thương nhân xử lý thẻ, họ có nghĩa vụ xử lý các thẻ hợp lệ, do đó có thể vi phạm các quy tắc của người bán ở đây và có thể gặp rắc rối với VISA (hoặc bất cứ ai) ... nhưng tôi gần như có thể thấy logic.

5
hiburn8

Tôi có một số vấn đề với lý thuyết "lỗi ngu ngốc" đơn giản ở đây. Tôi không có nghi ngờ rằng người mà bạn đang nói chuyện đã kéo điều vô nghĩa này ra khỏi không khí (như một số dịch vụ khách hàng mọi người sẽ không làm). 000 là hoàn toàn hợp lệ và bạn không phải là người đầu tiên trên internet chỉ ra rằng có số.

Nhưng có một quy mô ở đây mà mọi người không đánh giá cao.

  • Khả năng tự nhiên nhận được 000 vì CVV của bạn là 0,1%
  • Booking.com là một doanh nghiệp đã tạo ra 8 tỷ đô la trong doanh thu thô 2017, hầu hết trên các giao dịch thẻ. Đó là khoảng năm mươi ngàn đặt phòng vừa một ngày.
  • Do đó, Booking.com phải gặp 000 50 lần một ngày. Đối với một giai điệu trị giá 25 nghìn đô la đã bị mất đối với Booking.com và, nhiều, nhiều nhiều hơn về các đặt phòng thực tế không được thông qua.

Từ chối 0,1% giao dịch thẻ là 9 triệu đô la doanh thu bị mất. Trong [ rất nhỏ hơn nhiều] doanh nghiệp tôi làm việc, việc phân tích lưu lượng đặt chỗ sẽ gắn cờ này lên chuỗi khá nhanh. Những loại công ty này (tôi tiếp tục làm việc trong các hệ thống đặt phòng kỳ nghỉ), trải nghiệm giỏ hàng là phần được theo dõi nhiều nhất ... Tôi thấy rất khó tin rằng một công ty dựa vào phân tích sẽ bỏ lỡ điều gì đó đơn giản như xác thực thẻ vấn đề.

Vì vậy, nếu chúng tôi cho rằng điều này không thể tồn tại ở quy mô đó, chúng tôi phải đưa ra một số đề xuất giới hạn phạm vi ...

  1. Đây là một lỗi cục bộ.

    Nhiều công ty đa quốc gia bỏ tiền thông qua các tài khoản địa phương và trả lại tiền từ đó cho mục đích thuế. Có thể là Booking.com cho phép các văn phòng địa phương của mình chỉnh sửa mã này để xử lý các yêu cầu địa phương (tiền tệ, toàn bộ các phương thức thanh toán không phải là toàn cầu) và làm như vậy, cho phép các lỗi xuất hiện ở nơi không tồn tại ở nơi khác.

    Khả năng này được tăng lên vì quốc gia mục tiêu là Croatia. Họ sử dụng Kuna ở đó, không phải Euro. Cũng có thể có một loạt các khác biệt về kế toán và các nhà cung cấp cơ chế.

    Điều đó cũng đi một số khoảng cách để giải thích tại sao điều này đã đi dưới radar. 0,1% tiền của Croatia sẽ là một địa ngục ít hơn nhiều so với thu nhập toàn cầu.

  2. 000 không phổ biến bằng 0,1%

    Như JPhi1618 chỉ ra trong các bình luận, yếu tố giới hạn phạm vi khác là có lẽ các ngân hàng không phát hành 000 rất thường xuyên. Không có lý do gì họ không nên và như tôi đã nói, có bằng chứng trực tuyến về những người khác với 000 thẻ, nhưng điều đó không có nghĩa là nó phổ biến.

    [~ # ~] i [~ # ~] không có cách nào để xác minh điều này. Có lẽ ai đó có nhật ký xử lý thẻ bao gồm CVV có thể chạy phân tích.

Tuy nhiên, nếu bạn tìm thấy những vấn đề như thế này, hãy báo cáo chúng. Bỏ qua nhóm dịch vụ khách hàng vì đơn giản là họ không biết chuyện gì đang xảy ra. Hãy đến với CEO hoặc nhóm bảo mật vì cả hai sẽ thực hiện việc này khá nghiêm túc vì những lý do hơi khác nhau. 9 triệu đô la doanh thu bị mất là một động lực tốt.

3
Oli

Lưu ý rằng trên một số phần mềm Thẻ tín dụng, CVC có giá trị kỳ diệu 000 có nghĩa là CVC đã được cung cấp nhưng đã bị xóa kể từ (do các ràng buộc của PCI). Đó có lẽ là những gì Đặt chỗ đang làm và điều đó giải thích tại sao họ không chấp nhận.

0
Luk