В открытом доступе неустановленными лицами размещена информация о том, что им якобы удалось получить доступ к данным о банковских картах множества клиентов, оформлявших покупки в интернет-магазинах с помощью онлайн-процессинговой системы ChronoPay. В качестве доказательств приведены ссылки на файлы, содержащие информацию о банковских картах восьми сотен пользователей, а также т.н. SSL-сертификаты (используются для установления безопасного онлайн-соединения с удаленным сервером) с ключами и паролями, которые, по уверению авторов публикации, принадлежат ChronoPay.
По просьбе РИА Новости специалисты по информационной безопасности из компании Group IB проанализировали эти данные и пришли к выводу, что никакой другой цели, кроме организации масштабной провокации, публикация не преследует.
"Мы проанализировали опубликованные SSL-сертификаты, ключи и пароли и выяснили, что в качестве "доказательства" взлома злоумышленники представили открытый сертификат, который можно свободно взять с сайта ChronoPay. Что касается ключей и паролей, то обладание ими еще не дает доступа к процессинговой системе", - сказал РИА Новости генеральный директор Group IB Илья Сачков.
Однако ключи и пароли могли быть использованы в ходе фишинговой атаки - они позволяют злоумышленнику "притвориться" сервером ChronoPay и завладеть данными о карте клиента, что и было сделано после похищения домена chronopay.com.
Технический директор компании Elcomsoft (специализация - восстановление паролей доступа к данным) Андрей Малышев говорит, что даже удачная кража SSL-сертификатов и паролей не может привести к взлому базы данных, содержащей номера банковских карт. По его словам, максимум того, что смогли бы сделать злоумышленники, - имитировать формы ввода пользовательских данных в системе ChronoPay с целью фишинга.
По мнению гендиректора Elcomsoft Владимира Каталова, у версии о том, что никакого взлома не было, есть и более простые доказательства: в выложенных злоумышленниками файлах с информацией о кредитных картах содержатся CVV-коды карт. "Насколько я знаю, абсолютное большинство подобного рода систем вообще не хранит CVV-кодов карт, эта возможность там в принципе отсутствует", - заявил Каталов РИА Новости.
Однако получение кодов CVV в ходе фишинговой атаки, осуществленной с использованием похищенного злоумышленниками домена chronopay.com, вполне возможно. Возможно также, что опубликованные данные получены вообще из другого источника - например, куплены на "черном рынке".
Один из пострадавших в результате публикации номеров кредитных карт, главный редактор Roem.ru Юрий Синодов, сообщил РИА Новости, что не знает, как произошла утечка: "Не исключаю, что я никогда не платил этой картой посредством ChronoPay, хотя и не могу утверждать это наверняка - пользовался картой год, и все платежи проверить теперь трудно. Не знаю, кто и как ее скомпрометировал, но это очень неприятно - ощущать себя объектом слежки".
По словам представителя ChronoPay Дмитрия Шмакова, процессинговая система сохранила работоспособность - сервис переведен с домена chronopay.com на домен chronopay.ru.
Источник:
