- Startseite
- Forum
- Auto
- BMW
- 3er
- F30, F31, F34 & F80
- Sicherheitsrisko beim Einkauf im BMW Connected Drive Store ?
Sicherheitsrisko beim Einkauf im BMW Connected Drive Store ?
Ist jemandem von Euch schon mal aufgefallen, dass man im BMW Connected Drive Store seine Kreditkartendaten als Zahlungsmittel abspeichern muss, bevor man dort einkaufen kann? Das Schlimme dabei ist, dass man zusätzlich zur Kartennummer und der Laufzeit auch den CVC Code abspeichern muss, obwohl das lt. Mastercard aus Sicherheitsgründen untersagt ist. Das ist ja schliesslich das einzige Merkmal, mit dem ich mich als Eigentümer der Kreditkarte bei einem Einkauf authentifizieren kann. Würde BMW gehackt, könnte der Hacker problemlos mit unseren Karten einkaufen gehen, da er dann ja zu den üblichen Kartendaten auch das Sicherheitsmerkmal CVC Code kennt. Normalerweise gibt man bei einem Onlinekauf den Code nur im Lauf einer Transaktion an, dh. er wird nicht langfristig abgespeichert!
Ich finde diese Vorgehensweise seitens BMW - gerade in Zeiten wo laufend namhafte Unternehmen gehackt werden - schwer fahrlässig, was meint Ihr dazu? Nicht umsonst verbietet Mastercard seinen Vertragspartnern die Speicherung dieses Codes....
Ähnliche Themen
10 Antworten
Bist du sicher das er gespeichert wird und nicht nur abgefragt?
w
Ja, absolut sicher! Du must zuerst ein "Zahlungsmittel" anlegen und danach speichern. Erst wenn das erledigt ist, kannst Du kaufen. Erlaubt sind dabei nur Kreditkarten von Mastercard und Visa! Ich war auch ziemlich überrascht, als ich das gesehen habe. Ein Sicherheitsrisiko par excellence, abgesehen davon, dass es auch ein schwerer Verstoss gegen die "Transaction rules" von Mastercard darstellt. Nicht umsonst wurden diese Regeln so aufgestellt, wie sie sind....
Zitat:
@zotti2904 schrieb am 29. März 2016 um 22:44:39 Uhr:
Ist jemandem von Euch schon mal aufgefallen, dass man im BMW Connected Drive Store seine Kreditkartendaten als Zahlungsmittel abspeichern muss, bevor man dort einkaufen kann? Das Schlimme dabei ist, dass man zusätzlich zur Kartennummer und der Laufzeit auch den CVC Code abspeichern muss, obwohl das lt. Mastercard aus Sicherheitsgründen untersagt ist. Das ist ja schliesslich das einzige Merkmal, mit dem ich mich als Eigentümer der Kreditkarte bei einem Einkauf authentifizieren kann. Würde BMW gehackt, könnte der Hacker problemlos mit unseren Karten einkaufen gehen, da er dann ja zu den üblichen Kartendaten auch das Sicherheitsmerkmal CVC Code kennt. Normalerweise gibt man bei einem Onlinekauf den Code nur im Lauf einer Transaktion an, dh. er wird nicht langfristig abgespeichert!
Ich finde diese Vorgehensweise seitens BMW - gerade in Zeiten wo laufend namhafte Unternehmen gehackt werden - schwer fahrlässig, was meint Ihr dazu? Nicht umsonst verbietet Mastercard seinen Vertragspartnern die Speicherung dieses Codes....
Bist Du sicher, dass der CVC-Code wirklich abgespeichert wird oder bestätigt er nur die einmalige Transaktion, mit der BMW für zukünftige Belastungen der Karte legitimiert wird?
Das Problem gibt's ja so ziemlich überall, wo die Kreditkarte als Zahlungsmittel hinterlegt wird, von daher müssen die Kreditkartenbetreiber da ja einen gangbaren Weg zur Verfügung stellen. Im Prinzip hast Du das Problem aber bei jedem Kellner, dem Du die Kreditkarte gibst.
Zitat:
@zotti2904 schrieb am 30. März 2016 um 00:06:40 Uhr:
Ja, absolut sicher! Du must zuerst ein "Zahlungsmittel" anlegen und danach speichern. Erst wenn das erledigt ist, kannst Du kaufen.
Und wenn Du nochmal in die Einstellungen gehst wird er wieder angezeigt? Dass man ihn eingeben muss heißt nicht, dass er gespeichert wird. Könnte auch eine fahrlässige Benutzeroberflächengestaltung sein...
Bei mir ist der nicht abgespeichert, ich muss ihn wieder eingeben.
Zitat:
@br403 schrieb am 30. März 2016 um 10:24:19 Uhr:
Bei mir ist der nicht abgespeichert, ich muss ihn wieder eingeben.
alles andere hätte mich auch gewundert und wäre ein Ausschlusskriterium für einen Online-Shop.
wäre auch sehr ungewöhnlich, wenn BMW sowas machen würde.
Falls dem wirklich so wäre, was ich auch nicht glaube, würde ich mir mit einer Prepaid-Kreditkarte behelfen.
VG
Zitat:
@Jens Zerl schrieb am 30. März 2016 um 00:08:09 Uhr:
Zitat:
@zotti2904 schrieb am 29. März 2016 um 22:44:39 Uhr:
Ist jemandem von Euch schon mal aufgefallen, dass man im BMW Connected Drive Store seine Kreditkartendaten als Zahlungsmittel abspeichern muss, bevor man dort einkaufen kann? Das Schlimme dabei ist, dass man zusätzlich zur Kartennummer und der Laufzeit auch den CVC Code abspeichern muss, obwohl das lt. Mastercard aus Sicherheitsgründen untersagt ist. Das ist ja schliesslich das einzige Merkmal, mit dem ich mich als Eigentümer der Kreditkarte bei einem Einkauf authentifizieren kann. Würde BMW gehackt, könnte der Hacker problemlos mit unseren Karten einkaufen gehen, da er dann ja zu den üblichen Kartendaten auch das Sicherheitsmerkmal CVC Code kennt. Normalerweise gibt man bei einem Onlinekauf den Code nur im Lauf einer Transaktion an, dh. er wird nicht langfristig abgespeichert!
Ich finde diese Vorgehensweise seitens BMW - gerade in Zeiten wo laufend namhafte Unternehmen gehackt werden - schwer fahrlässig, was meint Ihr dazu? Nicht umsonst verbietet Mastercard seinen Vertragspartnern die Speicherung dieses Codes....
Bist Du sicher, dass der CVC-Code wirklich abgespeichert wird oder bestätigt er nur die einmalige Transaktion, mit der BMW für zukünftige Belastungen der Karte legitimiert wird?
Das Problem gibt's ja so ziemlich überall, wo die Kreditkarte als Zahlungsmittel hinterlegt wird, von daher müssen die Kreditkartenbetreiber da ja einen gangbaren Weg zur Verfügung stellen. Im Prinzip hast Du das Problem aber bei jedem Kellner, dem Du die Kreditkarte gibst.
Wenn die einmalige Eingabe des CVC-Codes sämtliche zukünftigen Transaktionen legitimieren würde, wäre das kein Sicherheitsrisiko?? Also ich kenne das in der Regel aus Onlineshops nur so, dass ich jeden Kauf von Neuem mit dem CVC bestätigen muss. Damit reicht nur die Kenntnis der Kartennummer für Betrügereien nicht aus....
Zitat:
@zotti2904 schrieb am 1. April 2016 um 23:55:57 Uhr:
Zitat:
@Jens Zerl schrieb am 30. März 2016 um 00:08:09 Uhr:
Bist Du sicher, dass der CVC-Code wirklich abgespeichert wird oder bestätigt er nur die einmalige Transaktion, mit der BMW für zukünftige Belastungen der Karte legitimiert wird?
Das Problem gibt's ja so ziemlich überall, wo die Kreditkarte als Zahlungsmittel hinterlegt wird, von daher müssen die Kreditkartenbetreiber da ja einen gangbaren Weg zur Verfügung stellen. Im Prinzip hast Du das Problem aber bei jedem Kellner, dem Du die Kreditkarte gibst.
Wenn die einmalige Eingabe des CVC-Codes sämtliche zukünftigen Transaktionen legitimieren würde, wäre das kein Sicherheitsrisiko??
Wie gesagt: bei jeder Bezahlung im Restaurant legt man sämtliche Bezahldaten incl. CVV offen. Die Sicherheit entsteht bei der Kreditkarte ausschließlich dadurch, dass das Kreditkarteninstitut die Missbrauchshaftung übernimmt. Und das wäre bei einer einmaligen Übermittlung des CVV zur Legitimation von zukünftigen Transaktionen gegeben.
Zitat:
Also ich kenne das in der Regel aus Onlineshops nur so, dass ich jeden Kauf von Neuem mit dem CVC bestätigen muss. Damit reicht nur die Kenntnis der Kartennummer für Betrügereien nicht aus....
Bei Einkäufen, wo Du keine Erlaubnis für zukünftige Transaktionen gegeben hast macht das ja auch Sinn.
Der Zweck des CVV ist zu belegen, dass die Karte im Moment der Transaktion physikalisch vorhanden ist, da dieser nur aufgedruckt und sonst nirgends abgespeichert ist.
1-Click-Bezahldienste oder auch Bezahldienste per Handy (Apple-Pay, etc.) bieten ja aber gerade das Einkaufen ohne die Kreditkarte zur Hand zu haben. Von daher muss eine Vorab-Legitimierung möglich sein.
Beim iTunes-Store muss man bei der Hinterlegung der Kreditkarteninformationen auch den CVV eingeben, trotzdem ist nicht davon auszugehen, dass diese Informationen gespeichert werden, denn die Unternehmen müssen ihre Prozesse ja selbst von Auditoren zertifizieren lassen. Denke dass dies bei BMW genauso sein wird.