所以卡lock之后routing number仍然可以用?为了保证每月5笔的话,就每月固定打开一次,刷完就锁卡?
1 个赞
这个是正解。
1 个赞
Lock后可以照常付房租?须要开debit protection 吗?
尤其是老卡lock了还得打电话刷5笔是真的累 
提供一点技术分析…Bilt网站做的再差也不致于cookie里就存了卡号吧?但是这个锅确实可能要码农背,网站没写好可能导致CSRF之类的攻击,在用户不知道的情况下后台嵌入Bilt网页获取卡号。在任意别的网站点个广告链接之类的就中招了。
而且现代浏览器的隔离做的还可以,黑客可以分析浏览器存储、直接读cookie的情况下很可能是在浏览器外面跑的攻击(整个电脑已经中毒了),这种情况下也可以半夜直接打开Bilt网站读卡号。
3 个赞
专业1234
请大佬讲讲改如何应对呢 
1 个赞
既然CSRF是非常cliche的攻击,防御方法也很老生常谈,教科书式防御是CSRF Token。可以打开Bilt网站看看他们有没有每个表格都加CSRF Token。
另外defense in depth的话可以学银行网银,各种账号数字不会直接写在网页上,都要点一下(多request一次)才会出来,可以设想这个request endpoint有更严格的保护、不容易被跨站脚本或者用户瞎装的插件偷偷request成功。
再往后我就不知道了,不能砸写网银的人的饭碗。我还能自己拍脑袋想到几个基于大数据的封控策略,比如突然有比平常多一百倍的查看卡号请求,有一批账户连续短时间内被查看卡号并疑似盗刷,都是有人黑了网银的迹象。这时候哪怕网银自己没问题(是用户统一出了问题,比如某个倒霉航空公司引诱用户装的shopping portal浏览器插件遇到了供应链攻击,开始给网银网页注入代码偷卡号),银行也可以马上介入开始风控,帮疑似出问题的用户直接锁卡。
8 个赞
是这样的
不需要打开网站读,如果电脑被黑了基本上可以一瞬间读取你所有浏览器所有 cookie 、保存的卡信息、自动填写的地址、浏览记录、收藏夹,然后一键上传开搞。
1 个赞
显然不正确,即使是 CSRF 也不能主动获取你的信息,更不可能通过第三方嵌入来获取到你的信用卡信息并且 POST 到第三方。CSRF 只能做到你能做到的事情 LOL