П. Врублевский, владелец Хронопэй, арестован

В минувшую пятницу лефортовский суд Москвы выдал санкцию на арест генерального директора "ХроноПэй" Павла Врублевского. Главу крупнейшей российской процессинговой компании подозревают в организации хакерской атаки на сайт платежной системы ASSIST, имевшей место в октябре 2008 года.

И как логическое завершение — арест Павла Врублевского в аэропорту Шереметьево при возвращении из Мальдив, как организатора данной атаки.

Павел Врублевский - личность неоднозначная, ранее я уже писал о деятельности Хронопей.

Посмотрим чем дело кончится, особенно в свете всего того, что я написал в предыдущем посте.

И еще немного о Chronopay

Как и следовало ожидать всей правды о том, что же произошло в компании Chronopay 25-26 декабря 2010 г., широкая общественность так и не узнала. Инцидент замяли. Официальное объяснение от компании можно прочитать здесь. Я позволю себе процитировать некоторые выдержки:

Злоумышленники перевели домен нашей компании, chronopay.com, с нашего регистратора (DirectNic) на другого (Network Solutions), после чего связали домен со своим сервером, где и разместили компрометирующий нас текст.

В соответствии с общей практикой, вся информация о принадлежности домена компании хранится у сторонних компаний (т.н. «регистраторов»). Тем не менее, окончательную точку в этом вопросе ставить преждевременно: совместно с регистратором мы поднимаем сейчас всю хронологию событий.

Мы не зафиксировали ни взломов, ни даже попыток взломов систем, находящихся под управлением Chronopay.

После того как был осуществлен захват домена, по адресу payments.chronopay.com злоумышленниками была создана поддельная платежная страница, не имеющая отношения к Chronopay. Основная ее цель — создание видимости «взлома» путем сбора данных некоторых карточек с последующей публичной демонстрацией. Страница просущестовала несколько часов, и общее количество карт, перехваченных таким образом оказалось менее 600. Практически все карты, которые находятся в списке, попали туда из фальшивой платежной страницы, что подтверждается и нашей службой поддержки клиентов, производящей «прозвон» клиентов, и службами безопасности банков-эмитентов.

....

Мы хотели бы отметить, что данная ситуация безусловно является внештатной и, по имеющимся на сегодня данным, произошедшей не по нашей вине.

К сожалению, пострадали владельцы карт, попавшие на фальшивую платежную страничку — их карты оказались скомпрометированными. Мы прилагаем все усилия для того, чтобы устранить последствия этого кибер-хулиганства, оказать посильное содействие.

Тем не менее интересно во всей истории с Chronopay другое. Злоумышленники вели себя предельно публично: разместили поддельное объявление от имени компании, выкладывали в живом журнале информацию о "взломе", номера кредитных карт, сертификаты и прочее. Становится понятно что целью этих людей было не хищение номеров карт (такие вещи как правило проводятся скрытно, чтобы можно было украсть деньги до тех пор, пока владельцы не заблокировали свои карты), а дискредитация компании. Кому же мог так насолить Chronopay ? Вот тут и начинается самое интересное. Недавно в блоге известно специалиста по информационной безопасности, Брайна Кребса, появилась статья "Chronopay's Scareware Diaries". Полностью переводить статью не хочу, обозначу только самое интересное:

Примерно год назад инсайдер (чье имя не известно) устроил слив внутренней информации (почтовая переписка, документы и проч.) компании. В том числе эта информация попала в руки Брайна Кребса. Если верить этим документам, Chronopay помимо прочего занимается обработкой платежных транзакций для компаний, работающих в так называемом сегменте "рискованного бизнеса". Т.е это онлайн-продажа порно, табака, медицинских препаратов и программного обеспечения. В 2009 году газета Washington Post печатала статью о результатах расследования этой деятельности компании. Однако, согласно "слитым" материалам, Chronopay занимается не только обработкой транзакций:

• Испанское подразделение Chronopay создало компанию Innovagest2000 и оплатило все расходы по регистрации, веб-хостингу, аренде телефонной линии для тех. поддержки и проч. Указанная компания предоставляла техническую поддержку для продукта под брендом Pandora Software (довольно известный поддельный антивирус или как иначе говорят "scareware").
• Сотрудники компании Chronopay создали две компании на Кипре - Yioliant Holdings и Flytech Classic Distribution Ltd. (оплатив все счета), зарегистрировав на них домены software-retail.com и creativity-soft.com соответственно. Оба домена использовались для распространения поддельного антивирусного программного обеспечения (а несчастные американцы платили по 50-150 баксов за удаление несуществующих вирусов).
• В марте 2010 г. компания Chronopay начала обработку транзакций для сайта icpp-online.com, который использовался для запугивания пользователей сообщениями о наличии у них на компьютерах контента, нарушающего авторские права, с последующим вымоганием денег.
• Компания Chronopay создала компанию (вновь оплатив все накладные расходы) Martindale Enterprises Ltd., которая занималась распространением поддельного антивируса под названием Shield-EC. Chronopay процессил транзакции по приобретению указанного ПО.

Неплохо правда ? Так что видимо то, что мы все наблюдали представляет собой ничто иное как "кибер-разборку". Т.е. "ломали" Chronopay не потому что он белый и пушистый, а скорее совсем наоборот. Это раньше братки друг друга на пустыре "мочили", а теперь 21-век, нанотехнологии и все такое....

И под занавес еще немного. Нашел вот тут:

"У хронопаев началось параноидальное недоверие к клиентам. Вот что они мне ответили на мэйл с вопросом - почему мой платёж отклоняется :

Здравствуйте!

Ваш платёж отклоняется автоматической системой контроля над платежами. Наша служба безопасности может помочь провести платёж, но для этого потребуется дополнительная верификация данных в виде скана копии лицевой стороны Вашей карты и разворота паспорта, либо водительского удостоверения. Документы Вы можете отправить на адрес электронной почты rdoc@chronopay.com"

Странно, а зачем компания Chronopay требует сканы документов с пользователей ?
И вот еще здесь:

Почему-то для осуществления оплаты с помощью банковской карты ChronoPay требует ввести кучу лишних персональных данных плательщика (см. https://payments.chronopay.ru/?product...nguage=ru). Зачем оператору мои ФИО, адрес и телефон вместе с электронной почтой? Ведь ОАО "Мосэнергосбыт" однозначно идентифицирует меня по лицевому счету: Книга; Абонент;К.р.!

А действительно, зачем нужно вводить эти данные ?

Взлом ChronoPay - обзор ситуации

Чего доктор Вам не скажет – завтра вскрытие покажет !

Сразу скажу, что по итогам изучения всей доступной на настоящий момент информации картина получается какая-то неоднозначная.

ChronoPay (Хронопэй) — международная процессинговая компания. Штаб-квартира находится в Амстердаме, королевство Нидерланды (ChronoPay B. V.). ChronoPay специализируется в области обработки платежей по банковским картам и иным платёжным инструментам в сети Интернет. ChronoPay является связующим звеном между банками-эквайрами и интернет-торговцами, обеспечивая последним доступ к приёму платежей с использованием пластиковых карт.

Клиентами/партнерами ChronoPay являются такие компании как MTC, Sky Express, Softkey, re:Store, Ростелеком, Комстар, SpaceWeb, Мосэнергосбыт и многие-многие другие.

Итак, сама история: в период с 25 по 26 декабря группе неизвестных (пока) хакеров удалось увести домен chronopay.com, создать поддельный сайт и разместить на его главной странице вот эту картинку:

27 декабря в живом журнале пользователем chronofail (якобы стоящим за этим взломом) создается журнал (в настоящий момент журнал не доступен для просмотра, но кеш googl'а помнит все :) ) в котором он выкладывает небольшой объем номеров кредиток и их cvv, а также сертификаты приватных SSL-ключей chronopay. Указанный взломщик утверждает, что в его руки попала база транзакций хронопей за период 2009 — 2010 г. со всеми необходимыми данными по кредиткам пользователей.

Пока мне удалось найти только одно подтверждение того, что данные кредитных карт, указанных в файле подлинны. А вот SSL-сертификаты действительно не поддельные, что подтверждает проверка в удостоверяющих центрах их выдавших.

В настоящий момент Chronopay удалось вернуть домен обратно и сегодня даже появилась возможность получить доступ к клиентским сервисам (SSL-сертификат выдан сегодняшним числом). На сайте компании опубликовано следующее официальное объяснение ситуации. Помимо этого удалось найти живой журнал с (не очень внятным на мой взгляд) объяснением ситуации от одного из сотрудников ChronoPay.

По версии CNews одной из причин атак на Chronopay может быть передел на рынке онлайн-платежей: в июле атаке была подвергнута другая платежная система - «Ассист», вследствие чего она лишилась своего крупнейшего клиента - «Аэрофлот». Другая возможная причина – противостояние между Павлом Врублевским и его бывшим партнером Игорем Гусевым. В отношение последнего возбуждено уголовное дело в связи с нелегальной деятельностью Glavmed - партнерской сети по продаже фармпрепаратов в интернете. Сам Гусев говорил CNews, что за его преследованием стоит Врублевский.

На мой взгляд все действия хакеров (в т.ч. их публичность и провокационность) скорее говорят именно в пользу того, что вся эта акция направлена именно на то, чтобы испортить имидж ChronoPay, и "взломщикам" вряд ли удалось спереть всю базу, как они утверждают, НО есть все же 1 аспект, который нельзя списать - приватные SSL-ключи ! Бог с ним, с угоном домена, это действительно может быть проблема безопасности у регистратора, но ведь в результате угона удалось не просто создать поддельный сайт, а еще и поддельную платежную страницу с реальным SSL-сертификатом (!), в результате чего у 600-800 бедняг угнали номера их кредиток (на кешированной странице chronofail (см. выше) есть ссылки на архив с номерами кредиток, если вы нашли свою карту там или производили оплату через ChronoPay в период 26-27 декабря, то думаю вам стоит подумать о блокировке своей карты). А вот это уже проблемы как раз таки Chronopay. И тут может быть на мой взгляд 2 сценария:

1)взломщикам таки удалось взломать сервера Chronoapy и получить доступ к приватным ключам (но не доступ к логам транзакций, поэтому у них нет всей базы, а есть только часть перехваченных за пару дней кредиток)

2)у взломщиков был сообщник — инсайдер, который и слил им приватные ключи (и может быть много чего еще)

И тот и другой сценарий в любом случае свидетельствует о недостатках в обеспечении информационной безопасности, а ведь ChronoPay якобы прошел сертификацию по PCI DSS.

Почему «якобы» ? Дело в том, что VISA и Master Card регулярно публикуют списки сервис-провайдеров, подтвердивших свое соответствие PCI DSS. Список VISA за 18 декабря 2010 г. не содержит упоминания о ChronoPay. В списке Master Card за 29 ноября 2010 г. Chronopay есть, но дата подтверждения соответствия указана в 2009 г. (хотя QSA-аудит должен проводится каждый год), а в качестве QSA — малоизвестная немецкая контора Security Research & Consulting GmbH. Так что это еще вопрос, выполняет ли ChronoPay требования PCI DSS.

Чтож, посмотрим, расследование инцидента покажет что к чему. Вот только узнаем ли мы всю правду ….

Важное обновление 18.01.2011 (!) На еще одном живом журнале обнаружилась информация о еще одном взломе chronopay и в этот раз в инет выложили уже гораздо большее количество кредиток. Журнал уже заморожен, но кеш googl'a по-прежнему помнит все.

Кстати на некоторых форумах наткнулся на призывы использовать выложенные сведения для личного обогащения, не советую, т.к. за такие "шутки" можно отправиться в места не столь отдаленные, а вот проверить нет ли в файле собственной кредитки пожалуй стоит