Kasheesh无法删卡，自带严重安全隐患，大家有解决办法吗

puffmolly · 2025 年6 月 21 日 07:10

背景：
Kasheesh.co 是坛友常用的一个把credit card转成debit card来享受某些场景debit card低刷卡费（比如交税、某些apartment交房租等）的一个工具。

Kasheesh无法删卡是一个非常大的bug, 这意味着卡信息很容易泄露。更要命的是，Kasheesh的安全验证机制做得非常糟糕，不看IP和设备验证，只要密码泄露，任何地方都能轻松登陆。由于卡不能删除，可以随意创建新卡，盗刷时候银行很可能还不会拦截。

求问大家有考虑过怎么解决这个问题吗，当该刷的卡刷完后，有办法从信用卡那边block Kasheesh吗？

rqc · 2025 年6 月 21 日 07:15

rqc · 2025 年6 月 21 日 07:16

不会以为很安全吧

puffmolly · 2025 年6 月 21 日 07:17

这个至少多一道防线，金融账户都有这个机制。

rqc · 2025 年6 月 21 日 07:18

这就是为啥很多人被 hack 啊，传统金融厂商 2FA 还在用邮箱和 SMS

sakura-neko · 2025 年6 月 21 日 07:21

一开始用passkey signup就成

replace卡？

puffmolly · 2025 年6 月 21 日 07:25

这个比知道密码就能登陆安全多了吧。现在密码很容易泄露的，不只是从你自己这边，从服务器那边泄露的数不胜数。

Kss · 2025 年6 月 21 日 07:29

不安全好多人邮箱被盗电话号码被转走

henso · 2025 年6 月 21 日 07:37

？要是密码都从 Kasheesh 那边泄露了，意味着攻击者可以直接 access Kasheesh 数据库你这密码 2FA 之类的本来就没意义了

rqc · 2025 年6 月 21 日 07:42

服务端密码存储的现状都不是明文，正常的厂商密码在存入数据库前会生成一个随机字符串 Salt 拼接后 bcrypt 或 Argon2，故意设计得很慢，就是为了对抗暴力破解。数据库只存最终结果 hash。每个用户的 Salt 都不同，就算是都是 123456 hash 也完全不一样，泄露是看不到你的真实密码的

密码的泄露大概率源于用户侧的防范疏忽，2FA 才成了最后一道防线，然后最后一道防线是 SMS ，通过撞库或钓鱼拿到了你的密码后，下一步就是利用你泄露的个人信息 SSN 啥的直接 SIM swap 你，验证码会直接发他手机里。这条攻击路径在现实中已经发生过无数次，它绕过了你密码和服务器端的所有防御。

应该假设用户一定会犯错，密码一定会以某种方式落入攻击者手中。在这一前提下，一个能被社工手段轻易绕过的 SMS 验证，对于金融安全来说，就是致命的短板。

专业的安全体系，是用技术手段比如 TOTP（虽然现在也不是很安全）、FIDO2/WebAuthn 去弥补人性的弱点，而不是依赖很智障的传统 2FA

邮箱就更不用说了 cookie stealer 还少吗

DOL · 2025 年6 月 21 日 07:45

真正的安全是TPM+双向pki验证。银行加密狗就是个TPM。
密码安全和易用不能两全。用password manager的话就麻烦一点。不用的话用户一定会重复使用密码，拦不住的。

2FA虽然比不上TPM安全，但也是比纯密码要好一点。有一点是一点。

但是现在不流行2FA了，流行passkey。等于是把手机当成TPM来用。

rqc · 2025 年6 月 21 日 07:48

这个还真不是，比这个复杂一点，应该是属于 HSM / Smart Card

DOL · 2025 年6 月 21 日 08:00

smart card和TPM只是标准名称不一样而已。本质上就是由硬件提供一个有限的安全环境可以处理加解密数据。而容易被入侵和读取的内存里不放密钥数据。

那这么说的话用password manager也没用。因为password manager的数据也可以被入侵。更不用说在线备份的password manager了。

2FA的前提假设就是用户的手机是安全可信的。这个前提假设不完全是错的。不管怎么说，这是2FA设计的threat model，而且也算是比较现实的。手机短信其它人确实很难获取。伪基站攻击无法大规模实现。主流的邮箱也有2FA。无论怎么说，都是比纯密码更安全一点。差多少就看用户的手机和邮箱有多安全。

你的说法未免有些耍流氓了。就像有人卖防弹衣，你掏出一把RPG说这根本不防弹。要说智能卡的话，也有人智能卡用弱密码，甚至一些公司有公用卡，密码写在便签上，这又怎么说？smart card也不绝对安全吗？脱离实际耍流氓的话确实就没有绝对安全的系统。

服务方能做的是在安全和易用之间取得一个平衡。如果设置一个非常安全但非常难用的验证系统，用户就一定能找到捷径绕过去。反而更不安全

xxxyyy · 2025 年6 月 21 日 08:13

可惜这个世界上大部分公司都是草台班子，kasheesh这种小规模的怕不是连安全部门都没。有很大的概率就是瞎搞的。大厂明文储存用户数据导致泄露的案例太多了，去年美团都能直接明文存cvv给人脱库。

一般这种公司我都默认会数据泄露的

DOL · 2025 年6 月 21 日 08:13

没有。但是可以考虑银行的虚拟卡号服务（如果有）。Google wallet也和一些银行有合作，可以生成虚拟卡号。这样至少可以更安全一点。

如果只是短时间用的话，用完挂失旧卡号就好了。

dsadfcdsqefda · 2025 年6 月 21 日 08:18

有问题就dispute+replace呗

rqc · 2025 年6 月 21 日 08:20

我不是要抬杠，而是在威胁模型设计的时候就要有这种假设，在设计的时候肯定极端一点

在发明这个的时候可能没错，但是现在基本上是完全错了，在大泄露环境下的 SIM swap 威胁是真实存在的。用户的手机是脆弱的端点，装个恶意 App 啥的都有，伪基站太针对了不考虑

我认为 SMS OTP 完全不安全

rqc · 2025 年6 月 21 日 08:22

还是得上 password manager

wzqhdx · 2025 年6 月 21 日 08:22

amex基本不都是年抛吗，过段时间卡就关了

DOL · 2025 年6 月 21 日 08:56

楼主也没说SMS安全啊，楼主说的是SMS+密码比单密码安全。只是更安全一丁点那也是更安全啊
五十步和一百步还是有一点区别的，但不多