Monday, January 07, 2008

Should ScanAlert be revoked of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir PCI Scanning abilities?

I was passed on this link today about "Hacker Safe Website gets hit by Hacker". For those who don't know, Hacker Safe is a service provided by Scan Alert (which is set to be acquired by McAfee). I am not going to go into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details of how safe are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sites displaying cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logo "Hacker Safe". I don't even want to go into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details of what level of scanning services are provided by ScanAlert through Hacker Safe. What I do want to talk about is, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PCI Compliance Certificate provided by ScanAlert after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir scan.

ScanAlert provides a PCI scanning service for $149.00 a year. Oh and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir website claims cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y work directly with VISA and MasterCard. Personally, I don't care about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir pricing model, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y could provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir service for free, for all I care. What matters to me is, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are "PCI APPROVED VENDOR".

So, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story today was about one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir clients, Geeks.com. Here is an excerpt from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 article

"Geeks.com is a $150 million company specializing in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sale of computer-related excess inventory and manufacturers' closeouts. Its Web site prominently proclaims that it is tested on a daily basis by ScanAlert Inc."

According to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PCI Compliance guidelines, Geeks.com should now become Level 1 merchant and have to pay fines and everything, now that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re has been a breach resulting in loss of credit card details. But, what about ScanAlert, shouldn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y be penalized too?

As I mentioned in my last post -
Who are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real culprits for PCI Compliance?
Geeks.com hired a PCI approved vendor to scan cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir site and provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m solutions. ScanAlert scans Geeks.com site everyday and didn't find any vulnerabilities. Now that Geeks.com is hacked, I am sure everyone would blame cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m about lax security practices and what not but what about ScanAlert? Shouldn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y share a part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 blame too?

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end, I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bigger question is - Is this level of service accepted by PCI Council?

11 comments:

Anonymous said...

You really do not know what you are talking about. Just because you read an article you believe it.

I guess you also belive cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Star enquirer and all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "I had an alien baby" because some wrote it down.

If you really are a security evangelist cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n do some security work and research cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 facts.

Anurag Agarwal said...

Well.. if you think ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise, please take sometime to write down your facts too or at least have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 guts to leave your name. Just criticizing without reasons is considered a weak response.

Shoaib Yousuf said...

I totally agree with you Anurag. I personally think in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same way. I think Geeks.com should stand up and take some action against ScanSafe.

I can't blame PCI Complaince for putting up fine on Geeks.com as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re website was hacked and in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real world cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y got victim, doesn't matter what type of precautions cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are using to keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m safe.

Value your post. Really interesting.

Anonymous said...

ScanAlert's Reply:
The headline (“'Hacker Safe' Geeks.com Hacked") is false and misleading, and does not match cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 facts provided by Geeks.com to its customers. So far, no one knows exactly what happened, or whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r this breach occurred on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web site or somewhere else. There is no evidence that this web site was hacked while it was certified HACKER SAFE. In fact, all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information that ScanAlert has gacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365red so far indicates that this breach did not happen while Geeks.com was certified HACKER SAFE.

Vishal Garg said...

I think this type of incidents are going to be more common in future. I would really be worried if a company has become PCI compliant and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n gets hacked. No doubt, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victims, but by hiring cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 services of an ASV, and by being certified cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have done what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were supposed to, so why should cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y be punished. Shouldn't it be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ASV vendor who gets punished if such an incident occurs after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have certified a company or does that simply mean that becoming PCI compliant does not make a web site any safer?

Anurag Agarwal said...

Vishal -

I am not against PCI Compliance and to me if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y want to raise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bar, by all means cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y should. But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point I mentioned in my earlier post and exactly what you mentioned in your comments, a company doesn't understand PCI let alone security. Thats why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y hire cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se ASVs to provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m solutions. These ASVs are making a lot of money with that. So, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y should take some part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk too.

Anonymous said...

anonymous, regardless of whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Geeks.com was certified HackerSafe or not at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of breach we must not overlook cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that no VA scanning tool can with any certainty declare a website "hacker safe". As well put by
>Drazen Drazic
, basic VA is not a full website security review. That said, also interesting to get some insight into ScanAlert from ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs.

anurag, while PCI requires that VA scanning is conducted by an ASV, it also requires web application penetration testing to be conducted. Manual testing has cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential to discover many issues that cannot be found with VA scanning. How well a pen test is conducted really depends on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 skills and knowledge of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tester.

Vishal, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 payment brands have stated that if an entity is certified PCI Compliant and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y experience a breach, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y wil be give "Safe Harbour" status. This means that if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can demonstate compliance at time of breach, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will be exempt from paying any fines or having restrictions placed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m as a result of a breach.

Anonymous said...

"or does that simply mean that becoming PCI compliant does not make a web site any safer?"

True!

While I do feel that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security testers should be held to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir results no scan vendor/contractor is ever going to agree to more liability than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 value of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 contract. So if you hire some company to assess your site for $30k don't expect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to cough up more than $30k when you get hacked. While keeping in mind that that $30k liability is only good until you change something on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site, because GL proving that your modifications after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir assessment didn't introduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hole that resulted in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 breach.

Anurag Agarwal said...

@aidan
In my earlier experience, when i was trying to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company I was working for, PCI certified, I spoke to so many ASVs and none of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m mentioned about web application pen testing. I found ASVs providing PCI service for as less cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n few hundred dollars to $15000. There were so many questions but nobody could provide clear answers. Now, i knew cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 web application security field, so I went with what was right and not what was required just to get certified.

That being said, how many companies are out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re who doesn't have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 luxury of an in house web application security professional. How would cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y distinguish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difference between $600 service to $9000 service? And if ASVs don't have a stake in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 game, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y would go out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re provide cheap service, make money and leave cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 companies hangin' out to dry.

I understand companies should do more cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n just PCI, but who is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re to guide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m? They don't understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 field, so how would cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y make cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right choices and PCI council is not making it any easier for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.

@kingthorin
I am not going to go into what penalties should be imposed on vendors, thats cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 job of PCI council, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re has to be something. It could be as small as a bad mark against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir reputation and when clients go out to hire a ASV, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y should be made aware of that bad mark.

Anonymous said...

@ anurag
I can agree with that. There should be some consequence for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mistake. My main point was that if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y pay $30k a year for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 service cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y shouldn't be expecting to recover millions from ScanAlert.

pci said...

Agree with you.