Villacorp Blog Exclusivo en Mexico de Contraespionaje y Hacking Profesional

2Mar/110

Google Viola Estandares de Seguridad

Con bastante frecuencia realizo compra de software para mi Smartphone Android. El poder de estos dispositivos para análisis de seguridad es bastante impresionante, convirtiéndose en una herramienta indispensable para labores de hacking ético.

Para realizar las compras, tengo que utilizar el servicio Google Checkout, porque resulta la única alternativa viable (hace algunos años tuve una experiencia espantosa con PayPal, lo que me hace desconfiar bastante de su servicio).

Google Checkout resulta muy conveniente para el usuario: al registrar mi tarjeta de crédito por primera vez, automáticamente la asoció a mi cuenta de Gmail. Solicitó todos los datos de la misma, incluyendo información sensible como el número CVV2 (el número impreso en la parte posterior de la tarjeta).

A partir de ese momento, para realizar cualquier compra, lo único que necesito es logearme al servicio desde mi Smartphone, y no vuelve a solicitar ningún tipo de información sobre la tarjeta de crédito.

Es decir, esto indica que Google almacena toda la información que le proporcionamos durante el registro.

...Y ahí se encuentra el problema.

De acuerdo al estándar de seguridad PCI-DSS (creado por Visa, MasterCard y American Express), ninguna empresa que maneje transacciones electrónicas debe almacenar información de la tarjeta de crédito que se considere sensible (como el CVV2). En específico, el Estándar indica:

"The merchant must have confirmed that sensitive authentication data (i.e., the full contents of magnetic stripe, CVV2 or PIN data) is not stored, as defined in the PCI DSS."

En otras palabras, la implementación actual de Google Checkout viola flagrantemente el Estándar, al almacenar toda la información de la tarjeta de crédito que le proporcionamos durante el proceso inicial de registro.

Como referencia, he observado que todos los demás portales de Internet en los que uso mi tarjeta (por ejemplo, las líneas aéreas en las que viajo), siempre solicitan el CVV2 cada vez que reservo un vuelo, aunque ya sea usuario registrado de sus servicios.

Ahora bien, antes de saltar a conclusiones prematuras, es importante aclarar que desconozco los procesos internos que efectúa Google sobre la información de la tarjeta. Por ejemplo, es posible que solicite el CVV2 únicamente como verificación al momento del registro, pero que nunca lo almacene en sus sistemas.

Sin embargo, el problema real es que Google no es transparente sobre el uso de nuestra información. Como clientes de sus servicios, debería existir un mecanismo sencillo para verificar que nuestra información financiera está siendo debidamente protegida.

Por más que investigué, en ninguna parte encontré referencia oficial que indique que Google Checkout ha sido auditado para cumplimiento con PCI.

Como las auditorías para cumplimiento con PCI suelen ser muy costosas, si Google estuviera certificado bajo este concepto, seguramente publicaría esta información en un lugar fácil de localizar. Como no es el caso, no me queda más que sospechar que en realidad NO han sido auditados bajo estos esquemas...

Mientras no exista esa transparencia, y como resultado de las violaciones a la privacidad de los usuarios en los que ha incurrido Google recientemente, me resulta múy difícil creer que cumplan con su propio slogan: "Don't be Evil"...

Filed under: PCI No Comments
Powered by Netfirms