?

Log in

No account? Create an account

rauf


Блог Алиева Рауфа

О жизни и о себе


Previous Entry Поделиться Next Entry
Про сегодняшние проблемы с Chronopay
rauf
Мне сегодня не переставая сыпятся звонки от знакомых и друзей на эту тему. Напишу тут, чтобы развеять все вопросы. Я в Chronopay — руководитель по разработкам. Упрощенно говоря, руковожу разработкой процессингового софта и системами внутренней автоматизации. Мы делаем софт, который после передаем в эксплуатацию. В эксплуатации сегодня «пожар», как это всем видно из новостей. Итак, о проблеме. У нас довольно сильно разграничен доступ к информации, поэтому я могу прокомментировать лишь то, что мне видно и понятно.

В сети есть некий сайт, не буду приводить его тут, на котором выложили якобы кусок нашей базы. Надеюсь, всем понятно, что доказать отсутствие утечки невозможно в принципе, в то время как доказать утечку проще. Так вот, насколько известно мне, доказательств утечки базы ни у кого нет. Карты воруют много где, и тут я своих коллег поддержу. Какая-то база использована для компрометации Chronopay. Разумеется, многие из перечисленных карт и в нашей базе есть.

Но при этом выложенный якобы кусок нашей базы вызывает вопросы.

CVC2 — у нас просто нет этой информации, вообще нет. В выгрузке ее быть не может.

Номер карты — с какого перепугу там пробелы? какой кривизны должны быть руки у разработчика, чтобы сохранять в базу транзакций номер карты в том виде, в каком его ввели, да еще и неправильный (там есть ошибочные номера). И, конечно, он шифруется.

Expiredate не хранится в виде двух отдельных полей. А в выгрузке они так представлены.

Есть предположение, что эта база — перехваченные где-то формы ввода платежных реквизитов, выдаваемые за нашу базу. Это невозможно доказать, ни опровергнуть, но других объяснений, откуда взялась база с CVC2, я не вижу.

Кстати, известно, что злоумышленники воруют с реальных банкоматов пин-коды т.н. «скиммерами». Фактически, это утечка с банкомата конкретного банка, но, к сожалению, такие утечки невозможно предотвратить (не ставить же охрану рядом с каждым банкоматом). В сети такое более контроллируемо, но все равно есть масса подобных способов (например, кейлоггеры). Замыкать подобные проблемы сразу на банк (в случае банкомата) или на процессора (в случае кейлоггеров), не доказав — не совсем этично. Хотя, конечно, с точки зрения потребителя — логично.

Ну и сам факт якобы «утечки» данных не был бы заметен, если бы не кража домена chronopay.com, что действительно было. Отсюда и дефейс с ложной информацией, и проблемы с другими сервисами, где был задействован этот домен. Сейчас этим всем занимаются как технари, так и соответствующие органы.

Ну вот пока все, что я знаю. Я оговорился в начале — что пишу только про то, что знаю. А те, кто знают больше — сейчас «тушат пожар». Как потушат — разберусь и я сам. Может, напишу что.


  • 1
Тоесть можно спать спокойно?)

Спать спокойно пока можно. Так как правило, сп**ые данные по картам не идут сразу в дело, распрадаются по кускам в разное время через несколько месяцев.
1) Как показывает практика крупные компании очень не охотно делаться информацией о утечках. Только когда совсем прижмет и деваться не куда. Примеров куча. В США только сейчас в связи с ужесточением санкций за сокрытия подобной информации ситуация стала меняться. Поскольку для нас это пока довольно редкий случай, можно предположить, что правды мы долго не услышим или пока гром не грянет (подождем месяца 3-4)

2)Хранение номера карты и CVV вещь распространенная. К заверением "запрещено - не храним" надо относиться скептически. Допустим для рекурентныех платежей они нужны. А всякие заморочки с шифрованием и токенеризацией стоят дорого, требует технологической проработки и постоянного контроля. Проверки аля PCI DSS от этого слабо спасают, так перед проверкой все лишнее прячут в “дальний угол” и найти его там очень трудно.

Карты могли спереть откуда угодно, домен угнали - тоже факт.
А что за сертификаты всплыли, есть информация?

Сертификаты(пара) обеспечивают работу https протокола.

Ну если дошли до уровня "дефейс", то много могли нарыть, помимо приватного ключа.

Т.к. www.chronopay.com сейчас лежит, трудно понять какая технология используется, но видать как минимум, ведутся отладочные логи. Может еще локальный кеш данных или транзакций.

так что не стоит распространяться о "с ложной информацией"

Как я понимаю - дефейс был через NS-ы, для этого надо просто проиметь старый емыл на который зареген домен. Я так терял свой frolin.ru. Возможно через него-же можно было поиметь и сертификат.

а как в базе оказались ssl-сертификаты и частные RSA-ключи?

То что господин синодов вводит данные своей карты где попало, его личные сексуальные трудности.

Я лично платил через Chronopay несколько сот раз, разными картами. Моих карт в дампе нет.

И еще, какое удивительное совпадение, что в 816 строках из миллионов, оказалась инфа про популярного блогера. Удивительно, не правда ли?

Да, странно что данные с cvv2 кодом.
Похоже все таки не на саму базу, а на сборную солянку,
из разных данных + сертификаты.

Такие данные можно собрать с компов пользователей вирусом.
Это объясняет, cvv2 код и разнородность данных.
Но то что туда попал Сидонов ... очень большое совпадение )

Либо это какой-то сайт ломанули где все эти люди покупали он-лайн.

Нужны ещё люди, которые себя найдут и скажут что все верно.
И посмотреть, где они делали покупки.

А что это именно за сертификаты, как используются ?


Понятно что это кому-то нужно, и тут не все так просто ...

нда, он-лайн бизнес по-русски :)))

инсайд точно имел место быть...

Можно лишь посоветовать бедным клиентам,
не забывать про интернет-карты, открываемые с лимитом на несколько покупок в интернете ...

Поясните пожалуйста, какой из IP-адресов payments.chronopay.com действительно принадлежит серверам Хронопэя, а какой фальшивый:
сейчас: payments.chronopay.com has address 184.72.132.89 (AMAZON-EC2-7)
раньше: payments.chronopay.com = 207.97.254.211 (RSPC-NET-4)

Я не знаю, это не моя тема, а эксплуатации. К тому же, я сейчас в метро.

Прокоментируете?
http://tertychniy.livejournal.com/120351.html
Уверен, это будет интересно не только мне или вы до сих пор в метро?

Крайне, крайне смешно читать что "Не было ни одного факта проникновения на серверы. Дефейс был выполнен за счет кражи домена, а не за счет взлома веб-сервера".

Господа, у вас сп-ли сертификаты и ключи на все "рабочие" домены. Проверить ключ и сертификат вы можете элементарно, тем же OpenSSL. Имея данную информацию и доступ к любому крупному транзитному узлу можно организовать транспарентное проксирование, например. И собирать себе данные. Когда господин Врублевский пишет, что у "регистратора доменов тупо подобрали пароль" - он в очередной раз показывает свою некомпетентность и отношение к клиентам.

Samuel_smith, я пишу только о фактах. Проникновения на серверы не было, дефейс бывает двух типов, один — взлом сервера, второй — взлом домена. У нас был второй.

Что тут смешного? Я что, выражаю свое мнение этим? Я говорю как есть, не добавляя свое мнение или суждение.

Насчет Павла — это к Павлу, у него, наверное, ЖЖ есть. То, что я писал, не официальная позиция компании, а мое видение ситуации. Не хочу флейм начинать, но без кражи домена или взлома сервера сертификаты иметь бестолку. Потому что на хостинг с поднятыми сертификатами все равно управление с кнопки "Оплатить" интернет-магазина никак не передастся.

Если эти "товарищи" получили доступ к серваку (слили SSL-сертификаты), то немножко поправить страничку с формой ввода, чтобы она отправляла все поля куда-нибудь "налево" перед тем как отправить их на хронопей - уже совершенно детская задача.


Номер карты — с какого перепугу там пробелы?

Отсюда и пробелы в номерах карточки - как пользователь вводил, так и сохранилось в левой базе. Оттуда же и "секретные" трехзначные числа.

Эту гипотезу также подтверждает наличие имён/фамилий в файлике cc.txt в виде ??????? - эти "товарищи" не позаботились о юникоде.

  • 1