Voyons voir:

Même si ce que vous dites est juste et que le FAI est solide comme le roc

1. Faites-vous confiance à ce "quelqu'un"? Si la réponse est non - annulez la carte de crédit dans tous les cas.

2. Votre numéro de carte de crédit + CVV se trouve maintenant dans le dossier «Envoyé» de cette personne, si sa boîte aux lettres sera piratée vous aura CC.

3. Les informations de votre carte de crédit seront stockées pour toujours sur les serveurs de Google

4. Je l'annulerais

Les e-mails ne sont pas un moyen sécurisé de partager des numéros de carte de crédit

La méthode que vous décrivez n'est pas sécurisée pour diverses raisons. Ceux-ci incluent:

L'envoi de numéros en texte brut n'est pas sécurisé

La technique que vous avez décrite aurait pu impliquer l'envoi de vos numéros de carte en texte brut (l'acte d'envoi de l'e-mail de l'ordinateur au FAI). Ce n'est pas sûr. Il aurait pu être récupéré de différentes manières

Les e-mails sont conservés à plusieurs endroits

Ce numéro de carte de crédit peut désormais exister à plusieurs endroits

• Dans le dossier 'envoyé' de l'ordinateur à partir duquel il a été envoyé
• Sur les serveurs des FAI
• Dans le compte Gmail

Maintenant qu'il ne s'agit que de 3 endroits où il pourrait être stocké, lorsque vous effectuez des sauvegardes de compte, il peut déjà y avoir de très nombreuses copies de vos numéros répartis dans le monde entier.

Je pense que les réponses ci-dessus sont correctes et que l'envoi des informations de carte de crédit par e-mail n'est pas sécurisé. Cependant, comme vous étiez spécifiquement préoccupé par l'interception en transit plutôt que par les différents points de stockage mentionnés dans les autres réponses, il vaut au moins la peine de considérer un point de vue à contre-courant:

Considérons l'arbre d'attaque:

Réseaux fixes (à l'intérieur de l'entreprise):

• Un attaquant devrait enfreindre les contrôles d'accès physique (ou être un réparateur de photocopies) ou être un initié
• Dépassez un NAC (mais la plupart des entreprises ne l'ont pas) ou ont un poste de travail
• Dans les réseaux commutés emballés (toutes les entreprises modernes), vous n'avez tout simplement pas accès à beaucoup de trafic de diffusion
• Vous devez donc accéder à un routeur ou à un commutateur, en supposant que vous ne soyez pas un administrateur réseau, cela signifie exploiter une mauvaise configuration de sécurité ou une vulnérabilité (très bien, aucun problème de métasploit existe, la plupart des organisations craignent de patcher en particulier les périphériques réseau) mais disons que vous écoutez Cisco / Juniper etc. et que vous corrigez tous les 3 mois (au moins les trucs vraiment mauvais) ou plus t authentifier tout sur un serveur RAS
• Même si vous pouvez obtenir l'accès, l'empoisonnement ARP, l'empoisonnement du cache DNS, peu importe, alors vous avez le problème suivant: le volume. Il y a énormément de données qui accèdent à un routeur majeur ou à un interrupteur à clé. Beaucoup sont désormais compatibles avec le gigabit, ce qui signifie boire avec un tuyau d'incendie. Même avec un moniteur DLP de réseau légitime, vous avez besoin d'un réassembleur de paquets haute performance, d'un bon matériel et d'un bon logiciel, puis de la capacité de faire une correspondance de modèles efficace. Donc, obtenir l'e-mail de ce PDG très difficile, obtenir le mot de passe étrange probablement pas si mal
• Ces données sont également transitoires - une fois que les paquets sont partis, ils sont partis (bien que les connexions administrateur puissent se produire souvent) mais fenêtre d'opportunité
• Sinon, vous pouvez faire ce dont j'ai parlé plus tôt, à savoir placer le renifleur sur la boîte que vous souhaitez surveiller, encore une fois, même problème en supposant un accès raisonnable qui est une erreur de configuration ou une vulnérabilité de sécurité, ou un manque de contrôles anti-malware. Aussi avec les deux premiers, c'est une attaque beaucoup plus ciblée

Réseaux publics:

• Cela semble être une cible beaucoup plus facile - vous ne pouvez plus être à l'aise avec les contrôles d'accès des boîtiers intermédiaires ou des périphériques réseau
• Mais regardons quelque chose comme le courrier électronique - la plupart des agents de transfert de courrier (MTA), y compris les grands comme Google, utilisent désormais TLS optimiste, ce qui signifie , la majorité de vos e-mails, qui contiennent sans doute vos informations les plus sensibles, sont susceptibles d'être cryptées en transit sans que vous ayez à faire quoi que ce soit de plus
• Même les réseaux MPLS partagés ont un marquage VLAN
• Encore une fois, vous avez le problème de Firehose mais un million de fois pire et la page d'informations transitoires
• Voir combien d'incidents réels de perte exploitée vous trouvez sur datalossdb.org ou des incidents de sec d'applications Web sur l'interception de données en transit

Réseau sans fil:

• Entreprise: WPA2 est une norme de facto, ce n'est pas parfait mais vous obtenez un cryptage sans faire quoi que ce soit de plus
• Home / Starbucks etc: Il s'agit d'un risque légitime en fait le meilleur et le seul exemple que l'OWASP donne pour non. 10 le manque de cryptage de transport est une interception sur un réseau sans fil domestique non sécurisé - même les voitures Google sur streetview peuvent le faire. Mais même ici, la plupart / toutes les entreprises qui fournissent un accès à distance fournissent un VPN, alors avez-vous besoin de quelque chose de plus?

Article de blog complet: http://www.rakkhis.com/2010/08/why-ssl-is-just-not-that-important.html

Vous devriez probablement toujours annuler la carte, mais compte tenu d'autres contrôles tels que la limite de la carte, si vous avez activé la sécurité 3D (par exemple, vérifié par visa), vous surveillez vos relevés, vos systèmes de détection de fraude bancaires; si ceux-ci rendent le risque dans votre appétit pour le risque, vous pouvez décider que le risque d'interception pendant le transport ou le stockage est suffisamment faible pour que vous l'acceptiez.

Les serveurs de messagerie de Google prennent en charge AUTH TLS comme préférence, il y a donc de fortes chances que votre carte de crédit ait été cryptée en transit. Encore une fois, vous avez maintenant des données de «piste 2» stockées qui ne devraient pas l'être, à savoir votre CVV.

Si cette carte de crédit est en fait une carte de débit, je l'annulerais très certainement immédiatement. Les cartes de crédit ont une assez bonne protection / sans tracas contre les activités frauduleuses. Je me sentirais certainement mal à l'aise, et vous aussi vous vous sentirez probablement mal à l'aise car vous n'auriez pas posté la question, alors je voudrais probablement simplement obtenir la réémission de la carte de crédit.

Si cette "personne" est un commerçant, vous ne voudrez peut-être pas faire affaire avec elle si elle est si cavalière avec vos données de titulaire de carte. Si cette personne est une personne de confiance, vous devez évaluer la raison pour laquelle votre carte vous a été transmise par e-mail et corriger ce processus.

Je vous conseillerais quand même de remplacer votre carte par prudence, mais si c'était MA carte, je ne m'en soucierais pas.

Vous ne devriez évidemment pas augmenter le risque de votre carte de crédit inutilement, mais cela étant dit, remplacez-vous votre carte à chaque fois que vous payez dans un restaurant et que le serveur part avec votre carte et apporte il revient?

Lorsque vous considérez le risque supplémentaire pour votre carte dans ce cas particulier que vous avez décrit, je pense qu'il vaut la peine de considérer d'autres risques pour votre carte pendant son utilisation (généralement sur une période de quelques années). D'autres scénarios d'utilisation de la carte incluent généralement:

• Restaurants / bars - n'avez-vous jamais payé avec une carte de crédit auparavant? À quel point il est facile de noter ou de mémoriser les détails de votre carte
• Centres d'appels - n'avez-vous jamais donné les détails de votre carte par téléphone?
• Boutiques (avez-vous déjà remarqué combien de magasins ont Caméras de vidéosurveillance?)
• Centres communautaires / gymnases dont vous êtes membre
• Bien sûr, il y a tellement de sites Web que vous n'avez aucun moyen de savoir qui a accès à ces détails

Il y a beaucoup d'endroits où quelqu'un peut obtenir à la fois votre numéro de carte et la date d'expiration du CVV + et dans beaucoup de ces situations, il peut déjà savoir quelque chose sur vous comme votre nom complet et votre adresse et peut-être même votre date de naissance.

Donc, comparez ces risques, que quasiment tous ceux qui possèdent une carte de crédit doivent prendre, à ce seul e-mail (et un bon aperçu de @Rakkhi sur ce signifie pouvoir récupérer cet e-mail): je pense que les autres scénarios de fuite sont beaucoup plus probables que ceux de Gmail ou de quelqu'un qui renifle le réseau.

C'est une vieille question, mais je pense que vous devriez annuler la carte.

Tout le monde a parlé de la probabilité que quelqu'un intercepte l'e-mail en transit. C'est ... donc très improbable à moins que votre réseau local ne soit déjà MiTMed.

La surface d'exposition ÉNORME est le compte de messagerie de cette autre personne avec son mot de passe sans aucun doute merdique ou ses mauvaises habitudes de navigation / problèmes de virus; votre CC est assis dans son dossier envoyé et il est super facile de rechercher automatiquement ces informations et de les extraire via botnet. Votre compte est également un problème, mais au moins vous en avez le contrôle. Vous n'avez aucun contrôle sur l'autre compte.

Pourquoi cette soirée avait-elle votre pan et votre CV?

Si vous le leur avez fourni, ils doivent être conformes à pci-dss, et d'après ma connaissance limitée de cela, cela ne permet pas l'envoi ou le stockage de pan non chiffré. Les données CVV ne doivent pas être stockées.

Bien que, comme d’autres l’ont dit, une grande partie du trafic SMTP puisse être chiffrée, il est très difficile de déterminer à l’avance si tel est le cas pour un message donné, mais il pratiquement impossible de savoir si un e-mail sera stocké de manière conforme par un tiers.