вторник, 11 января 2011 г.

Взлом ChronoPay - обзор ситуации


Чего доктор Вам не скажет – завтра вскрытие покажет !


Сразу скажу, что по итогам изучения всей доступной на настоящий момент информации картина получается какая-то неоднозначная.

ChronoPay (Хронопэй) — международная процессинговая компания. Штаб-квартира находится в Амстердаме, королевство Нидерланды (ChronoPay B. V.). ChronoPay специализируется в области обработки платежей по банковским картам и иным платёжным инструментам в сети Интернет. ChronoPay является связующим звеном между банками-эквайрами и интернет-торговцами, обеспечивая последним доступ к приёму платежей с использованием пластиковых карт.

Клиентами/партнерами ChronoPay являются такие компании как MTC, Sky Express, Softkey, re:Store, Ростелеком, Комстар, SpaceWeb, Мосэнергосбыт и многие-многие другие.

Итак, сама история: в период с 25 по 26 декабря группе неизвестных (пока) хакеров удалось увести домен chronopay.com, создать поддельный сайт и разместить на его главной странице вот эту картинку:

27 декабря в живом журнале пользователем chronofail (якобы стоящим за этим взломом) создается журнал (в настоящий момент журнал не доступен для просмотра, но кеш googl'а помнит все :) ) в котором он выкладывает небольшой объем номеров кредиток и их cvv, а также сертификаты приватных SSL-ключей chronopay. Указанный взломщик утверждает, что в его руки попала база транзакций хронопей за период 2009 — 2010 г. со всеми необходимыми данными по кредиткам пользователей.

Пока мне удалось найти только одно подтверждение того, что данные кредитных карт, указанных в файле подлинны. А вот SSL-сертификаты действительно не поддельные, что подтверждает проверка в удостоверяющих центрах их выдавших.

В настоящий момент Chronopay удалось вернуть домен обратно и сегодня даже появилась возможность получить доступ к клиентским сервисам (SSL-сертификат выдан сегодняшним числом). На сайте компании опубликовано следующее официальное объяснение ситуации. Помимо этого удалось найти живой журнал с (не очень внятным на мой взгляд) объяснением ситуации от одного из сотрудников ChronoPay.

По версии CNews одной из причин атак на Chronopay может быть передел на рынке онлайн-платежей: в июле атаке была подвергнута другая платежная система - «Ассист», вследствие чего она лишилась своего крупнейшего клиента - «Аэрофлот». Другая возможная причина – противостояние между Павлом Врублевским и его бывшим партнером Игорем Гусевым. В отношение последнего возбуждено уголовное дело в связи с нелегальной деятельностью Glavmed - партнерской сети по продаже фармпрепаратов в интернете. Сам Гусев говорил CNews, что за его преследованием стоит Врублевский.

На мой взгляд все действия хакеров (в т.ч. их публичность и провокационность) скорее говорят именно в пользу того, что вся эта акция направлена именно на то, чтобы испортить имидж ChronoPay, и "взломщикам" вряд ли удалось спереть всю базу, как они утверждают, НО есть все же 1 аспект, который нельзя списать - приватные SSL-ключи ! Бог с ним, с угоном домена, это действительно может быть проблема безопасности у регистратора, но ведь в результате угона удалось не просто создать поддельный сайт, а еще и поддельную платежную страницу с реальным SSL-сертификатом (!), в результате чего у 600-800 бедняг угнали номера их кредиток (на кешированной странице chronofail (см. выше) есть ссылки на архив с номерами кредиток, если вы нашли свою карту там или производили оплату через ChronoPay в период 26-27 декабря, то думаю вам стоит подумать о блокировке своей карты). А вот это уже проблемы как раз таки Chronopay. И тут может быть на мой взгляд 2 сценария:
1)взломщикам таки удалось взломать сервера Chronoapy и получить доступ к приватным ключам (но не доступ к логам транзакций, поэтому у них нет всей базы, а есть только часть перехваченных за пару дней кредиток)
2)у взломщиков был сообщник — инсайдер, который и слил им приватные ключи (и может быть много чего еще)

И тот и другой сценарий в любом случае свидетельствует о недостатках в обеспечении информационной безопасности, а ведь ChronoPay якобы прошел сертификацию по PCI DSS.

Почему «якобы» ? Дело в том, что VISA и Master Card регулярно публикуют списки сервис-провайдеров, подтвердивших свое соответствие PCI DSS. Список VISA за 18 декабря 2010 г. не содержит упоминания о ChronoPay. В списке Master Card за 29 ноября 2010 г. Chronopay есть, но дата подтверждения соответствия указана в 2009 г. (хотя QSA-аудит должен проводится каждый год), а в качестве QSA — малоизвестная немецкая контора Security Research & Consulting GmbH. Так что это еще вопрос, выполняет ли ChronoPay требования PCI DSS.

Чтож, посмотрим, расследование инцидента покажет что к чему. Вот только узнаем ли мы всю правду ….

Важное обновление 18.01.2011 (!) На еще одном живом журнале обнаружилась информация о еще одном взломе chronopay и в этот раз в инет выложили уже гораздо большее количество кредиток. Журнал уже заморожен, но кеш googl'a по-прежнему помнит все.

Кстати на некоторых форумах наткнулся на призывы использовать выложенные сведения для личного обогащения, не советую, т.к. за такие "шутки" можно отправиться в места не столь отдаленные, а вот проверить нет ли в файле собственной кредитки пожалуй стоит

6 комментариев:

  1. Всю правду как часто бывает можно уместить в одной ладони ! (с) swan...

    По сути считаю, что подобные инциденты вызваны не техническими вопросами а либерализацией платежей как поддержки и стимулирования потребления в обществе являющиеся первопричиной.

    Другими словами приоритетна задача простоты оплаты.

    Если конкретно по данному случаю, не думаю, что утекла база, скорее манипулируют тем, что удалось перехватить.

    ОтветитьУдалить
  2. Привет Александр.

    Тема с сертификатами замучала уже многих и не удивительно, что даже специалисты не очень способны сразу понять что и как было сделано. Ответ на вопрос - сами сертификаты в этот раз стянули из паблика (это делается элементарно через браузер). Вопрос в ключах. Все ключи кроме одного были стянуты инсайдом еще в прошлый раз весной-летом 9ого года еще до переподтверждения Хронопеем сертификата PCI.

    Один ключ кажется свежим потому-что сертификат к нему от сентября 2010ого года. В действительности как выяснилось его тоже стянули еще тогда весной, просто один не очень разумный админ Хронопея перевыпустил в сентябре сертификат со старого ключа, а не сгенерил новый. Вот и вся сказка.

    Что касается домена - его действительно увели судя по всему через уязвимость уже известную в DirectNic, именно поэтому домен так быстро и вернули не смотря на праздники - в самом Директнике аврал полный, там много чего у кого увели.

    Относительно списков Визы и Мастеркарда - там публикуются данные с очень большой задержкой, в несколько месяцев, любой сертификатор вам должен это подтвердить.

    ОтветитьУдалить
  3. Спасибо за развернутый комментарий, жаль не знаю кто Вы, НО

    "Относительно списков Визы и Мастеркарда - там публикуются данные с очень большой задержкой, в несколько месяцев, любой сертификатор вам должен это подтвердить."

    Сейчас январь 2011 г. в списках VISA ChronoPay нет вообще, а в MasterCard запись 2009 г, так что версия с задержкой на стороне платежных систем мне кажется не очень убедительной, а полностью несостоятельной ее делает следующее заявление, взятое с сайта CNews: "Как отмечается, ChronoPay получает сертификат PCI DSS уже в седьмой раз, начиная с 2004 г." (http://safe.cnews.ru/news/line/index.shtml?2010/11/24/417228)

    ОтветитьУдалить
  4. Владимир Захаров15 января 2011 г. в 13:57

    Здравствуйте, Александр!
    Ваш тезис "их публичность и провокационность", на мой взгляд, полностью отвечает на поставленный Вами вопрос.
    Таких Викиликсов в ближайшем будущем, по видимому, стоит ожидать именно в тех сферах деятельности, которые мы традиционно числим наиболее защищенными.
    Речь ведь идет не о репутационных рисках отдельной процессинговой компании, пользователям предлагают ставить под сомнение надежность платежных систем в целом.

    ОтветитьУдалить
  5. "Речь ведь идет не о репутационных рисках отдельной процессинговой компании, пользователям предлагают ставить под сомнение надежность платежных систем в целом."

    Не уверен. В данном случае взломщики активно агитировали против пользования именно сервисами ChronoPay. А с точки зрения надежности платежных систем, то здесь как раз эти платежные системы (VISA, MAsterCard и др.) и создали стандарт безопасности PCI DSS, следование которому снижает риск взлома. Меня лично в этой ситуации все больше смущает то, что выясняется, что крупная процессинговая компания активно заявляла о сертификации PCI DSS, а на деле ... очень может быть что никакой настоящей сертификации и не было ... кому же тогда мы доверяем обработку платежных карт...

    ОтветитьУдалить
  6. Пользуйтесь виртуальными картами и не парьтесь :))) Сегодня идет война с Chronopay, завтра раздолбают другую платежную систему, а мы с Вами попадем под раздачу наших реквизитов на всеобщее обозрение...

    При обостренной параное можно использовать новую виртуалку на каждую транзакцию, при умеренном опасении заливайте на виртуальную карту сумму, равную платежу. При больших суммах лучше держаться правила: одна карта - одна транзакция. Тем более виртуальная карта - недорогое удовольствие.

    ОтветитьУдалить