American Express credit cards exposed in vendor data breach

[Tevyn]

Om du är helt 100% säker att köpen är via Apple Pay samt att de är obehöriga, så bör du omgående byta din passcode på dina Apple-prylar. Köp via Apple Pay kräver autentisering, t ex via passcode eller TouchID/FaceID, förutom på Apple Watch (tror jag, äger ingen Watch).

Min telefon och klocka har varit hela tiden med mig, och enligt Amex är dessa två de enda Apple Pay kopplade enheterna som haft mitt Amex kopplat till mig.

Jag har spärrat allt och bytt lösenord samt så har jag självklart 2FA men det är ett mysterium för min del hur de lyckats.

 

[igelkotten]

Okej. Och bara för att dubbelkolla, detta var alltså inte en notifiering av köp som är kopplat till Amex-appen, utan det var en faktiskt Wallet-notifiering? Om du öppnar Wallet på telefonen och klickar på ditt Amexkort, kommer transaktionerna upp på den listan (med info om det var din telefon eller klocka som köpet gjordes med)? Se exempel nedan där jag kan se att all mina köp autentiserades med min iPhone.

Det är inte så att jag misstror dig, men jag har aldrig hört talas om att Apple Pay ”skimmas” på det sättet så vill vara säker på att vi talar om samma sak.

 

[Hachans]

Okej. Och bara för att dubbelkolla, detta var alltså inte en notifiering av köp som är kopplat till Amex-appen, utan det var en faktiskt Wallet-notifiering? Om du öppnar Wallet på telefonen och klickar på ditt Amexkort, kommer transaktionerna upp på den listan (med info om det var din telefon eller klocka som köpet gjordes med)? Se exempel nedan där jag kan se att all mina köp autentiserades med min iPhone.

Det är inte så att jag misstror dig, men jag har aldrig hört talas om att Apple Pay ”skimmas” på det sättet så vill vara säker på att vi talar om samma sak.

Visa bifogad bild 151379

Något är fishy här.

Antingen så har Apple brustit i sin kryptering eller så är det inte Apple Pay som gått fel och det är något missförstånd.

Här kan man läsa mer om hur processen fungerar. I korthet. Kortet kan inte användas alls om inte chippet det sparats på också är närvarande. Onlineköp går förstås men de måste autentiseras på enheten.

Apple Pay security and privacy overview

Learn how Apple protects your personal information, transaction data, and payment information when you use Apple Pay.

support.apple.com

 

[Tevyn]

Okej. Och bara för att dubbelkolla, detta var alltså inte en notifiering av köp som är kopplat till Amex-appen, utan det var en faktiskt Wallet-notifiering? Om du öppnar Wallet på telefonen och klickar på ditt Amexkort, kommer transaktionerna upp på den listan (med info om det var din telefon eller klocka som köpet gjordes med)? Se exempel nedan där jag kan se att all mina köp autentiserades med min iPhone.

Det är inte så att jag misstror dig, men jag har aldrig hört talas om att Apple Pay ”skimmas” på det sättet så vill vara säker på att vi talar om samma sak.

Visa bifogad bild 151379

Det kom upp som transktion i Apple Wallet på ett köp i en helt annan stad under tiden jag satt i ett möte på ett helt annat ställe med telefonen i fickan.

Efter diskussion med Amex så bekräftade de att endast 4 enheter var kopplade, som vid tillfället alla var med mig. För säkerhets skull klippte vi såklart kortet, men då uppdaterades kortet i min telefon till det senare och jag bad dem då ta bort Apple Pay från mina 4 enheter.

Enligt supporten så köpet gjort med Apple Pay (Ica och Shell på plats) och jag såg även online en logga för Apple Pay på transaktionen.

Jag hade inte upptäckt detta om det inte drogs en stor reservation efter betalning på en bensinmack. Jag upptäckte senare flera små mindre köp från samma område som gjorts med några dagars mellanrum, men de var för små för att jag skulle lägga märke till.

 

[igelkotten]

Okej. Låter rätt märkligt och som nämnts innebär det ju att någon har kopierat Apples kryptering, knäckt krypteringen för att skapa en falsk transaktion, som sedan återkrypterats för att skickas till banken för att där avkrypteras. Vilket vore ett riktigt stort problem för Apple men när jag söker online hittar jag inga rapporter om sådana säkerhetshål. Anledningen till att jag frågade om notifieringen är att loggan för Wallet är väldigt liten, och ganska lätt att missa eller lätt att föreställa sig (har hänt mig). See skärmbild nedan där SAS Mastercard transaktionen är en vanlig korttransaktion med chip medan Amextransaktionen är med Apple Pay - det är den lilla loggan i hörnet som visar skillnaden.

 

[igelkotten]

Kan du inte kolla på Amex hemsida för att verifiera om köpen gjordes med Apple Pay eller med kort (för att verifiera själv än lita på kundtjänst). På Amex hemsida kan jag se följande för en transaktion, där det står ”Betalt med Apple Pay”.

 

[Tevyn]

Kan du inte kolla på Amex hemsida för att verifiera om köpen gjordes med Apple Pay eller med kort (för att verifiera själv än lita på kundtjänst). På Amex hemsida kan jag se följande för en transaktion, där det står ”Betalt med Apple Pay”.

Visa bifogad bild 151382

Sorry, kanske var otydlig men det var den jag menade. Alla 5 köp är gjorda med den loggan på dvs bekräftat med Apple Pay. Ingen i närheten av där jag har varit.

Jag har funderat hela dagen på hur det är möjligt men kan verkligen inte lista ut det. Ska bli intressant vad Amex säger när de återkommer senare i veckan!

 

[Tevyn]

Här är utdragen från dator och mobilapp.

 

[Tevyn]

Här är upptäckten och det jag klickade upp i Wallet efter jag såg notiser på datorn.

Även de är Apple Pay

 

[EgOscar]

Här är upptäckten och det jag klickade upp i Wallet efter jag såg notiser på datorn.

Riktigt mystiskt! De två små ICA betalningarna på exakt samma plats och tid gjordes flera timmar efter den större 2000kr dragningen, typ tvärt emot vad brottslingar normalt gör. När jag blev fick mitt fysiska kort och kod stulet en gång så gjorde de ett snabbt litet köp i en affär för att verifiera att koden funkade, sen maxade uttagen.

Jag hoppas AMEX och Apple Pay kan reda ut vad som har hänt. Såna här grejor gör en lite orolig.