doctorsoul (doctorsoul) wrote,
doctorsoul
doctorsoul

Разбор полетов со взломом #Chronopay


Бурлит интернет – и вполне правильно. Либо ломанули, либо серьезно “подбили” Chronopay, один из крупных процессингов в сети Интернет. Я через него за МТС плачу :) Разумеется, новость очаровательна – не каждый день на крупном серваке мы видим вот такое чудесное явление.
Чтобы не повторятся, давайте почитаем здесь, здесь, здесь, здесь, здесь и здесь.
Что же происходит по сути, давайте посмотрим. Итак, тезис хакеров – мы взломали базу данных Chronopay всю и за пару лет. Ну или за год. Доказательства – это база с 8мью сотнями карточных номеров. Будто бы они извлечены из базы данных процессинга и теперь выставлены на всеобщее обозрение – мол пользуйтесь кому не лень :) Посмотрел, впечатлился. Только вот почему только 8 сотен? Не 8 тысяч? Тогда и выборка была бы больше и больше обижанных клиентов бы подняли куда как бОльший шум :) Один из вариантов, что в данном случае эти весьма продвинутые товарищи сумели встроится в процес передачи данных для платежной системы на стороне клиента (эдакий цифровой скимминг). То есть клиент вводит данные в форму и думает, что это платежная систсема. А это страница-закладка, которая данные в платежную систему отдает немедленно, но копию оставляет себе. Возможно, именно поэтому номеров всего 8 сотен, а не 80 тысяч. Для любого процессинга тысяча транзакций – дело минуты. Дальше либо админы клиента просекли незаконный взлом, либо специалисты платежной системы его обнаружили. Нечто подобное уже было с сайтом Касперского (http://www.xakep.ru/post/44539/?page=1). Кроме того, можно посмотреть еще одну позицию сотрудника Chronopay здесь. Официальных позиций компании пока не поступало.
А вот с доменом действительно получилось очень забавно – его, разумеется, увели. На некоторое время. Существует версия о том, что основная проблема – в хостере домена chronopay.com, который висел на directNic. Это, отметим, крупный регистратор в США, но по словам нашего источника “ИТ-безопасность его находится совсем не на высоком уровне – очень много банальных уязвимостей, которые дают возможность злоумышленникам получить доступ к всей базе данных, в которой прописаны пароли для управления DNS доменов”. Таким образом, взломали-то его давно, еще с месяц назад и с некоторыми западными сайтами уже такую “подставку” проводили. “Наши” злоумышленники купили часть этой похищенной базы недавно и использовали ее против Chronopay. Что и говорить – молодцы, весьма свежее решение. Воспользовались тем, что в directNic решили не кричать своим клиентам о взломе и не ужесточили ситуацию по переводу доменов на другие DNS хотя бы голосовой авторизацией владельца домена (в принципе, это возможно). Правда, такая технология “подставы” давно известна на рынке – ее используют с популярными ресурсами, для которых делаются клоны заглавных страничек, а в html-код вставляются вирусные “вкрапления”. Команду зомби-машин надо как-то пополнять, ничего не поделать :) Админы Chronopay, конечно, обломались – прошляпить такое дело надо было уметь :)
Теперь к данным, которые демонстрируются в качестве “доказательств”. Помнится летом, когда Chronopay тоже падал, в Сети были заметны товарищи хакеры, которые говорили о взломе базы данных процессинга. В качестве доказательства предлагалось посмотреть тоже около тысячи номеров карт. Было тоже убедительно, но все данные были от иностранных пользователей, ни одного “русского”. На предложение прислать что-то более вменяемое, товарищи хакеры мне ответили, в личной переписке, о том, что ежели правоохранительные органы руководством Chronoay не заинтересуются, то в сеть будет вывалена вся база похищенного, она же будет загружена в торрент-сети. Обещалось что-то типа локального апокалипсиса. Гм – в это верилось, но спустя квартал и второй в Сети этих данных так и нет. Я допускаю, что они существуют, но проверить это невозможно.
Кроме того, небольшой ликбез к отношении того, как хранятся данные в процессинге – с лета я поговорил на эту тему примерно с полудюжиной экспертов по ИБ. Если упрощенно и по сути, то процессингу нет никакого смысла хранить информацию о картах в полноценном виде, там видят только 6 первых и 4 последних цифры каждого номера карты. Это не только Chronopay касается – это есть и у CyberPlay и у ВТБ24 и у Assist и у PayOnline и у Транскредитбанка. Дело в том, что пропуская номер через свой шлюз, его отправляют на исполнение в конкретный банк, который эту карту эмитировал. Они-то и видят полный номер карты и подтверждают или отклоняют транзакцию. Ситуация с CVV2 аналогична – этот номер, как только вводится в платежную форму, сразу шифруется и выкидывается в банк, где проверяется на валидность: соответствует карте или нет. Процессинг видит только сигнал да/нет и на этом основании разрешает/отклоняет платеж. Не более того.
Что происходит с процессингом сейчас. Сайт – не пашет. Официальный блог – тоже. Работает только площадка на Facebook – там у компании мини-представитеьство. Но за телефон МТС через Chronopay я вечером заплатить смог спокойно – то есть анонсированное “Маркером” отключение прекратилось. Я товарищам-хацкерам в их блоге предложил показать мне данные по моей кредитке Mastercard 0802, которой я плачу в Сети помимо пары карт Visa, но они мне что-то так и не подсказали ее номер и exp date. Очень жаль – просто доказательств мало как-то. Кстати, так и не понял что делают наши товарищи в погонах – дело имеет судебную перспективу или как?:)
Какие выводы можно сделать из этой ситуации?
- разумеется, для платежей в Сети стоит использовать карту, которую потом можно быстро заблокировать. Лучше – специальную карту для платежей именно в Сети
- не стоит на ней хранить все свои средства :)
- надо подключить SMS-уведомление о транзакциях – это полезно и позволит быстро блокировать спорные транзакции
- лучший вариант – использовать виртуальную платежную карту, которая “сгорает” каждый месяц. С нее точно фиг что сопрешь
Кстати, общее впечатление из серии “я зню чувака, который знает парня, у которого девушка нашла свою карту в этом файле” обычно ошибочно :) Если уж товарищи хакеры хотели добиться какого-то значительного эффекта из серии “Ббббоже, мою карту похитили и именно в интернет”, то они вполне могли вербануть сотню-другую ботов или анонимусов, которые бегают в комментариях с этими криками :)

Originally published at Ч@c мечты/Telecompas. You can comment here or there.

Tags: chronopay, Новости, интернет-платежи, платежные карты
Subscribe

  • У Toshiba нет сервиса для Camileo

    Camcorder Camileo Кроме производства и продажи электронных “железок” производителям неплохо было бы заняться и их гарантийным и…

  • “Экспресс” оборвал все связи

    Запущенный с Байконура ночью 18го августа новый спутник «Экспресс-АМ4» так и не вышел на расчетную орбиту. Связь с ним потеряна, управления нет…

  • Размышления о современных СМИ

    Twitter победил информационные агентства. И по скорости публикации и по ее охвату. Да, там нет самопроверки, цензуры и самоограничений –…

  • Post a new comment

    Error

    Comments allowed for friends only

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 4 comments