Чего доктор Вам не скажет – завтра вскрытие покажет !
Сразу скажу, что по итогам изучения всей доступной на настоящий момент информации картина получается какая-то неоднозначная.
ChronoPay (Хронопэй) — международная процессинговая компания. Штаб-квартира находится в Амстердаме, королевство Нидерланды (ChronoPay B. V.). ChronoPay специализируется в области обработки платежей по банковским картам и иным платёжным инструментам в сети Интернет. ChronoPay является связующим звеном между банками-эквайрами и интернет-торговцами, обеспечивая последним доступ к приёму платежей с использованием пластиковых карт.
Клиентами/партнерами ChronoPay являются такие компании как MTC, Sky Express, Softkey, re:Store, Ростелеком, Комстар, SpaceWeb, Мосэнергосбыт и многие-многие другие.
Итак, сама история: в период с 25 по 26 декабря группе неизвестных (пока) хакеров удалось увести домен chronopay.com, создать поддельный сайт и разместить на его главной странице вот эту картинку:
27 декабря в живом журнале пользователем chronofail (якобы стоящим за этим взломом) создается журнал (в настоящий момент журнал не доступен для просмотра, но кеш googl'а помнит все :) ) в котором он выкладывает небольшой объем номеров кредиток и их cvv, а также сертификаты приватных SSL-ключей chronopay. Указанный взломщик утверждает, что в его руки попала база транзакций хронопей за период 2009 — 2010 г. со всеми необходимыми данными по кредиткам пользователей.
Пока мне удалось найти только одно подтверждение того, что данные кредитных карт, указанных в файле подлинны. А вот SSL-сертификаты действительно не поддельные, что подтверждает проверка в удостоверяющих центрах их выдавших.
В настоящий момент Chronopay удалось вернуть домен обратно и сегодня даже появилась возможность получить доступ к клиентским сервисам (SSL-сертификат выдан сегодняшним числом). На сайте компании опубликовано следующее официальное объяснение ситуации. Помимо этого удалось найти живой журнал с (не очень внятным на мой взгляд) объяснением ситуации от одного из сотрудников ChronoPay.
По версии CNews одной из причин атак на Chronopay может быть передел на рынке онлайн-платежей: в июле атаке была подвергнута другая платежная система - «Ассист», вследствие чего она лишилась своего крупнейшего клиента - «Аэрофлот». Другая возможная причина – противостояние между Павлом Врублевским и его бывшим партнером Игорем Гусевым. В отношение последнего возбуждено уголовное дело в связи с нелегальной деятельностью Glavmed - партнерской сети по продаже фармпрепаратов в интернете. Сам Гусев говорил CNews, что за его преследованием стоит Врублевский.
На мой взгляд все действия хакеров (в т.ч. их публичность и провокационность) скорее говорят именно в пользу того, что вся эта акция направлена именно на то, чтобы испортить имидж ChronoPay, и "взломщикам" вряд ли удалось спереть всю базу, как они утверждают, НО есть все же 1 аспект, который нельзя списать - приватные SSL-ключи ! Бог с ним, с угоном домена, это действительно может быть проблема безопасности у регистратора, но ведь в результате угона удалось не просто создать поддельный сайт, а еще и поддельную платежную страницу с реальным SSL-сертификатом (!), в результате чего у 600-800 бедняг угнали номера их кредиток (на кешированной странице chronofail (см. выше) есть ссылки на архив с номерами кредиток, если вы нашли свою карту там или производили оплату через ChronoPay в период 26-27 декабря, то думаю вам стоит подумать о блокировке своей карты). А вот это уже проблемы как раз таки Chronopay. И тут может быть на мой взгляд 2 сценария:
1)взломщикам таки удалось взломать сервера Chronoapy и получить доступ к приватным ключам (но не доступ к логам транзакций, поэтому у них нет всей базы, а есть только часть перехваченных за пару дней кредиток)
2)у взломщиков был сообщник — инсайдер, который и слил им приватные ключи (и может быть много чего еще)
И тот и другой сценарий в любом случае свидетельствует о недостатках в обеспечении информационной безопасности, а ведь ChronoPay якобы прошел сертификацию по PCI DSS.
Почему «якобы» ? Дело в том, что VISA и Master Card регулярно публикуют списки сервис-провайдеров, подтвердивших свое соответствие PCI DSS. Список VISA за 18 декабря 2010 г. не содержит упоминания о ChronoPay. В списке Master Card за 29 ноября 2010 г. Chronopay есть, но дата подтверждения соответствия указана в 2009 г. (хотя QSA-аудит должен проводится каждый год), а в качестве QSA — малоизвестная немецкая контора Security Research & Consulting GmbH. Так что это еще вопрос, выполняет ли ChronoPay требования PCI DSS.
Чтож, посмотрим, расследование инцидента покажет что к чему. Вот только узнаем ли мы всю правду ….
Важное обновление 18.01.2011 (!) На еще одном живом журнале обнаружилась информация о еще одном взломе chronopay и в этот раз в инет выложили уже гораздо большее количество кредиток. Журнал уже заморожен, но кеш googl'a по-прежнему помнит все.
Кстати на некоторых форумах наткнулся на призывы использовать выложенные сведения для личного обогащения, не советую, т.к. за такие "шутки" можно отправиться в места не столь отдаленные, а вот проверить нет ли в файле собственной кредитки пожалуй стоит
Facebook
