Rauf Aliev (rauf) wrote,
Rauf Aliev
rauf

Categories:

Про сегодняшние проблемы с Chronopay

Мне сегодня не переставая сыпятся звонки от знакомых и друзей на эту тему. Напишу тут, чтобы развеять все вопросы. Я в Chronopay — руководитель по разработкам. Упрощенно говоря, руковожу разработкой процессингового софта и системами внутренней автоматизации. Мы делаем софт, который после передаем в эксплуатацию. В эксплуатации сегодня «пожар», как это всем видно из новостей. Итак, о проблеме. У нас довольно сильно разграничен доступ к информации, поэтому я могу прокомментировать лишь то, что мне видно и понятно.

В сети есть некий сайт, не буду приводить его тут, на котором выложили якобы кусок нашей базы. Надеюсь, всем понятно, что доказать отсутствие утечки невозможно в принципе, в то время как доказать утечку проще. Так вот, насколько известно мне, доказательств утечки базы ни у кого нет. Карты воруют много где, и тут я своих коллег поддержу. Какая-то база использована для компрометации Chronopay. Разумеется, многие из перечисленных карт и в нашей базе есть.

Но при этом выложенный якобы кусок нашей базы вызывает вопросы.

CVC2 — у нас просто нет этой информации, вообще нет. В выгрузке ее быть не может.

Номер карты — с какого перепугу там пробелы? какой кривизны должны быть руки у разработчика, чтобы сохранять в базу транзакций номер карты в том виде, в каком его ввели, да еще и неправильный (там есть ошибочные номера). И, конечно, он шифруется.

Expiredate не хранится в виде двух отдельных полей. А в выгрузке они так представлены.

Есть предположение, что эта база — перехваченные где-то формы ввода платежных реквизитов, выдаваемые за нашу базу. Это невозможно доказать, ни опровергнуть, но других объяснений, откуда взялась база с CVC2, я не вижу.

Кстати, известно, что злоумышленники воруют с реальных банкоматов пин-коды т.н. «скиммерами». Фактически, это утечка с банкомата конкретного банка, но, к сожалению, такие утечки невозможно предотвратить (не ставить же охрану рядом с каждым банкоматом). В сети такое более контроллируемо, но все равно есть масса подобных способов (например, кейлоггеры). Замыкать подобные проблемы сразу на банк (в случае банкомата) или на процессора (в случае кейлоггеров), не доказав — не совсем этично. Хотя, конечно, с точки зрения потребителя — логично.

Ну и сам факт якобы «утечки» данных не был бы заметен, если бы не кража домена chronopay.com, что действительно было. Отсюда и дефейс с ложной информацией, и проблемы с другими сервисами, где был задействован этот домен. Сейчас этим всем занимаются как технари, так и соответствующие органы.

Ну вот пока все, что я знаю. Я оговорился в начале — что пишу только про то, что знаю. А те, кто знают больше — сейчас «тушат пожар». Как потушат — разберусь и я сам. Может, напишу что.
Subscribe
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 54 comments