Взломщики сайта Chronopay подставили Синодова?

На днях после угона домена платежной системы Chronopay взломщики выложили в Интернет файл с некоторыми номерами карт - в качестве доказательства "полной утечки всех персональных данных пользователей Хронопей за 2009-2010 годы".

Однако, как сообщили "Вебпланете" в компании Chronopay, в опубликованном файле содержится ряд карт, которых нет в базе интернет-платежей, проходивших через Chronopay. Это лишний аргумент в пользу гипотезы о том, что взломщики скормили интернет-общественности "левую" базу платёжных карт, украденных другим способом.

Для установления "засвеченных" плательщиков, отсутствующих в базе Chronopay, представители компании связались с банками-эмитентами. Здесь полагают, что данные карт были похищены преимущественно через поддельную веб-страницу.

Кроме того, журналист Юрий Синодов, обнаруживший свою карту в этом списке, передал "Хронопею" всю выписку по ней - и оказалось, что в базе компании эта карта отсутствует. (Факт передачи выписки по карте Синодов подтвердил "Вебпланете" в email-переписке, а также в своём ЖЖ-дневнике.)

Напомним, что на взломанном позавчера сайте Chronopay была опубликована информация от имени её гендиректора Павла Врублевского о том, что в руки злоумышленников попала персональная информация всех пользователей Chronopay за 2009-2010 годы, "включая полные номера кредитных карт и cvv-кодов".

Позднее через специально созданный аккаунт в "Живом журнале" хакеры распространили информацию о взломе, а также выложили в качестве доказательства архив со списком из 800+ пластиковых карт (номера, CVV-коды, даты окончания действия, имена кардхолдеров). Кроме этого списка архив содержал SSL-сертификаты "Хронопея" вместе с приватными ключами.

Официальная позиция Chronopay, опубликованная вчера: никакого взлома сервера и базы транзакций не было. Просто некие злоумышленники ухитрились увести домен chronopay.com у регистратора, после чего разместили там свою страничку с текстом якобы от Врублевского, а на субдомене payments.chronopay.com поставили поддельную платёжную форму. Какое-то время через эту форму собирались данные о платёжных картах пользователей, которые хотели осуществить интернет-платежи при помощи процессинговой системы Chronopay.

По мнению экспертов "Вебпланеты", есть еще ряд соображений, говорящих о том, что опубликованный хакерами список украденных карт не имеет прямого отношения к базе транзакций. Список больше похож на данные, собранные при помощи фишинговой формы, поскольку в нём присутствуют ошибки ввода (повторяющиеся записи, номера карт короче 16 символов, пробелы и дефисы в номерах карт, нули вместо года окончания действия и т.п.).

Наконец, хакеры отказываются каким-либо ещё способом подтвердить наличие у них базы транзакций Chronopay. В частности, "Вебпланета" предлагала им осуществить проверку на примере записей того же Юрия Синодова, выступив в качестве посредника. Взломщики считают, что это лишнее, потому что их "цель... достигнута". Под целью, очевидно, понимается нанесение максимального урона репутации Chronopay.

Информация о карте Синодова наводит на дополнительные размышления. Сам Синодов уверяет, что в последний раз снял с неё наличность полтора месяца назад и с тех пор не пользовался этой картой. Если взять в качестве гипотезы, что данные по утёкшим картам собирались при помощи поддельной формы, действовавшей позавчера на угнанном домене, то карта Синодова в этот список попасть не могла.

Можно предположить, что её данные попали к хакерам каким-то другим способом, и они добавили их (а возможно, и данные по другим картам) в этот список перед тем, как представить его публике. Безусловно, случай с картой Юрия Синодова помог придать этому делу дополнительную огласку.

Что касается SSL-сертификатов Chronopay, то с ними совсем другая история. К сожалению, в предновогодний период нам не удалось заручиться комментариями экспертов. Однако всё говорит за то, что это валидные сертификаты вместе с приватными ключами, выданные, к тому же, довольно давно. Пока они не отозваны, любой сайт может выдавать себя за Chronopay. Очевидно, взломщики использовали их как раз на поддельном субдомене с платежами.

О том, каким образом сертификаты попали к ним в руки, можно только догадываться. В компании Chronopay нам пока не смогли дать комментарий по этому вопросу. О личностях хакеров тоже ничего не известно.

Между тем, в одном из крупнейших российских банков, ВТБ, "Вебпланету" заверили, что инцидент с Chronopay не вызвал "никакой паники" среди его клиентов. ВТБ также рекомендует клиентам подключать к картам технологию 3-D Secure, которая "позволяет обезопасить себя от возможных негативных последствий компрометации данных пластиковой карты в сети Интернет".

(Обновлено в 20:25) В Chronopay нас заверили, что украденные SSL-сертификаты уже отозваны. Эксперты, с которыми этот вопрос изучали журналисты РИА Новости, справедливо отметили, что эти сертификаты не могут предоставить доступа к базе транзакций.

Вместе с тем, слова одного из этих экспертов, генерального директора Group IB Ильи Сачкова, не могут не вызывать удивления. "Мы проанализировали опубликованные SSL-сертификаты, ключи и пароли и выяснили, что в качестве "доказательства" взлома злоумышленники представили открытый сертификат, который можно свободно взять с сайта ChronoPay", — заявил он.

Дело в том, что эти сертификаты уже анализировали все, кому не лень (вот один из примеров анализа). К этим сертификатам приложены также приватные ключи, которые никак нельзя "взять с сайта Chronopay" — во всяком случае, обычным способом. Между тем, эти приватные ключи соответствуют публичным, которые как раз можно взять вместе с сертификатом.

Но, повторимся, с такими сертификатами в базу платежей действительно не пролезешь, хотя их и можно использовать со злым умыслом.

Другие новости