约翰·格鲁伯(John Gruber)对梅里克·加兰(Merrick Garland)和他的团队有一些精选的话,但这段话对我来说特别有趣:
Apple Pay 通过电子钱包混淆了您的实际信用卡号码, 零售商利用这些号码来跟踪客户是臭名昭著的。它比使用信用卡本身更加私密。我非常怀疑如果允许 NFC 触碰支付,任何银行或信用卡发卡机构都会自己这样做。
你说付款?我的专长!
首先,这种混淆是指 DPAN,它与 FPAN 不同。
咳咳,很抱歉使用了行话,但了解正在发生的事情很重要,所以让我解释一下。
FPAN 是“完整的主帐号”,是印在您的实体卡上的 15-18 位数字。 DPAN 是您的“设备主帐号”。
将 DPAN 视为类似于 DNS 记录的东西。当您在浏览器中输入“birchtree.me”时,您的浏览器能够确定该域名与哪个 IP 地址相关,并引导您前往那里。我可以将我的网站物理保留在同一 IP 地址上的同一位置,但我可以将域名更改为 birchtree.com 或 wigglewobble.org,浏览器将知道要做什么,而无需用户知道所涉及的 IP 地址。
这可能是解释 DPAN 的最书呆子的方式,但我了解我的听众,所以我认为这可能至少对你们中的一些人有所帮助。
值得注意的是,它被称为 DPAN,而不是“Apple Pay 号码”——它是一个通用术语,这是因为这是各地数字钱包的标准功能,而不仅仅是 Apple Pay。 Google Pay 和 Samsung Pay 是美国最大的其他数字钱包,它们的功能完全相同。虽然从技术上讲,它并没有使用 DPAN,因为付款是通过不同的公司进行的,但 Amazon Pay 和 Shop Pay 按钮也会掩盖商家的实际 FPAN(完整卡号)。
我觉得这种情况经常出现,但我无法向您强调,很少有商家愿意处理您的实际信用卡号码。这增加了很大的风险,而现代的支付接受工具可以轻松收集支付详细信息,确保尽可能少的人能够访问真实的银行卡信息。
Gruber 提到银行绝对不想自己使用 DPAN,但我们实际上不需要对此进行推测,我们已经掌握了此信息。从 Walls Fargo 到 Chase 到 Bank of America 的众多银行都拥有(或曾拥有)数字钱包,所有这些银行都使用 DPAN 来保护您的纯文本帐号。 Paze是美国一些大银行目前使用的工具,当然它也使用 DPAN。事实上,他们给出的您应该使用 Paze 的首要原因是,“Paze 不会与商家分享您的实际卡号。”
关于跟踪客户
然后是 DPAN 改变每笔交易的问题,格鲁伯并没有指出这一点,但我看到人们四处走动。这部分是正确的,是最好的真实类型😝
因此,如果我使用 Apple Pay 从商家 A 购买商品,然后沿着街道步行并使用 Apple Pay(并使用同一张卡)从商家 B 购买商品,那么仅能访问我的 DPAN 的人就不可能知道这一点两个地点都是我。这是因为每个接受 Apple Pay 的商家帐户的 DPAN 都是唯一的。这很好,但有两个注意事项。
第一,您可能已经看到了这一点,但这并不是 Apple Pay 独有的,因为 Google Pay、Samsung Pay 和 Paze 的工作原理相同。
第二,虽然 DPAN 在商户之间发生变化,但同一商户的后续交易始终相同。所以,是的,虽然这确实阻止了数据经纪人从一堆不同的商家轻松购买交易数据并找出这些商家的购物趋势,但它并不能阻止单个商家仅使用 Apple Pay 提供的 DPAN 查看您的交易历史记录。如果 Target 的故事是关于 Target 根据其购买历史了解一名青少年怀孕的故事,那么 Apple Pay 并不能阻止像 Target 这样的人能够追踪这一情况。是的,其他数字钱包也是如此。
关于 DPAN 的最后一点需要注意的是,在发生数据泄露时,它们对作为客户的您来说要好得多。到 2024 年,任何商家都不应该直接处理您的信用卡号,但假设支付网关遭到黑客攻击,并泄露了您在商店进行的交易的 DPAN 和到期日期。在这种情况下,攻击者将无法使用他们获取的 DPAN 执行任何操作,因为 DPAN 仅在作为每笔交易唯一的加密捆绑包的一部分提交时才起作用。有一种方法可以在通过 Apple Pay 收集的卡上运行重复交易,但这对于黑客来说是不可能的,现在我们有点陷入困境,所以我们只能说您的 FPAN 处于数据泄露状态比所有数字钱包收集的 DPAN 还要糟糕。
Apple Pay 中的个人信息
我有时也会看到一个想法(同样,不是在格鲁伯的链接帖子中,但无论如何我想澄清),即 Apple Pay 会掩盖您的个人信息。这根本不是真的。
因为我是一位非常敬业的博主,所以我实际上在我的一个测试商家帐户上运行了真实的 Apple Pay 交易(但运行的是非常真实的交易),并查看了商家级别的报告。以下是我对此次 Apple Pay 交易的商家的看法:
我已经模糊了其中的大部分内容,因为这是我真实的账单和家庭地址以及我的全名和电子邮件地址。
如果你仔细想想,这些信息当然就在那里!在此示例中,我的结账页面适用于实物商品,因此我需要客户的送货信息。 Apple Pay 的 SDK 允许我选择想要从客户那里获取哪些个人信息,而它正是针对这种情况。
哦,产品信息可以传递到 Apple Pay 中以显示您所购买的商品,并且该信息也会发送给商家。当然,这是因为商家需要知道你买了什么。
基本上,当您结帐时弹出 Apple Pay 卡时,预计该卡上的所有内容都会发送给商家。这样一来,它就像所有其他付款方式一样;商家可以选择他们想要或需要收集多少个人信息,Apple Pay 不会阻止他们在结帐时询问您这些信息。
是的,这就是其他数字钱包的工作原理。
带走
我希望你从这篇文章中学到的是,虽然 Apple Pay 是一种很好的支付方式,而且苹果公司在数字钱包主流化方面做得很好,但他们所做的事情在行业中并不是独一无二的。 DPAN 非常适合让跟踪一个人在多个商家的购买行为变得更加困难,并且可以降低客户在支付卡信息数据泄露时面临的风险。
我们没有人能够了解所有事情,而且我认为期望每个人都了解数字钱包如何工作的所有细节是合理的。这就是为什么我发现这样的机会非常有用;在这个苹果领域,我可以分享比大多数人更多的信息,我希望它能提供有用的信息。
原文: https://birchtree.me/blog/digital-wallets-and-the-only-apple-pay-does-this-mythology/