В последнее время так много новостей о взломах компаний и утечках персональных данных, что владельцы сайтов наверняка приняли дополнительные меры предосторожности, чтобы не допустить такое, думаете вы. Как бы не так. Может быть, в каких-то крупных компаниях и задумались о том, как бы не потерять капитализацию на десятки миллионов долларов, как Yahoo перед продажей (когда всплыли факты крупных взломов). А вот многие мелкие бизнесы и пальцем не пошевелили.
В ноябре 2016 года компании специалисты по безопасности из Kromtech Security Research Center обнаружили базу данных с полной информацией о покупателях одного из крупнейших онлайновых зоомагазинов в США — всего более 110 000 записей о банковских карточках, некоторые с кодами CVV.
Сотрудники Kromtech Security Research Center немедленно отправили владельцам магазина уведомление о неправильно сконфигурированной базе данных на сервере, из-за которой в онлайне всем желающим доступна информация из базы данных. Синхронизация данных между серверами магазина по протоколу Rsync осуществляется без пароля, то есть кто угодно с клиентом Rsync и подключением к интернету может скачать базу данных целиком.
Они надеялись, что владельцы немедленно закроют уязвимость, но не получили никакого ответа. Они трижды отправляли уведомления и однажды пытались связаться с владельцами по телефону, но безрезультатно. В течение шести месяцев ситуация не изменилась.
Специалисты не нашли другого выхода, кроме как разгласить факт уязвимости, хотя не назвали конкретного названия компании и названия сайта. Впрочем, шила в мешке не утаишь, и коллеги быстро раскопали, что речь идёт о техасском магазине FuturePets.com (примечание: на момент написания статьи сервер был отключен, выдавал HTTP Error 404, через несколько дней возобновил работу). Магазин разработан техасской веб-студией DataWeb Inc., которая разработала много других похожих сайтов с товарами для животных. Портфолио представлено у них на главной странице. Вполне вероятно, что на этих сайтах можно искать аналогичные уязвимости. Компания DataWeb владеет платёжной платформой PegasusCart. Эта платформа обслуживает сайты магазинов, разработанных DataWeb.
Представители MacKeeper предупреждают, что за подобное безалаберное обращение с финансовыми данными клиентов компания не только рискует репутацией, но и несёт конкретную юридическую ответственность. Они нарушают Стандарт безопасности данных в индустрии платёжных карт (PCI DSS). За его нарушение предусмотрено наказание. Кроме того, что финансовая информация не защищена должным образом, нарушено ещё одно правило: номера CVC, CVV и CVV2 не должны храниться в системе, даже в зашифрованном виде. Об этом ясно сказано в пунктах 3.2 и 3.4 стандарта PCI DSS.
В базе 193 337 записей, содержащих имена, адреса, почтовые адреса и другие идентификационные данные о покупателях, телефоны, номера банковских карточек, сроки действия карточек, имена владельцев карт и т. д. Хотя в базе нет поля CVV как такового, но некоторые поля содержат этот код, вероятно, по ошибке.
Общее количество доступных банковских карт — 110 429. В базе присутствуют записи с 2002 года, так что большое количество карт уже с истёкшим сроком действия, но есть много карт, добавленных в 2015 и 2016 годах, в некоторых случаях с кодами CVV.
На чёрном рынке информация о банковских карточках продаётся по цене чуть более доллара за штуку. Исследователи говорят, что эта база зоомагазина — одна из крупнейших утечек платёжных карточек в истории.
Удивительно, но здесь хакерам даже не понадобилось ничего взламывать — просто настроить клиент Rsync, чтобы получить трансляцию с сервера компании при синхронизации.
В интернете есть способы обналичить деньги с чужой карты даже без знания CVV, только по номеру из 16 цифр, имени владельца и сроку действия. Например, таким образом можно оплачивать номера в гостиницах, покупать товары на Amazon и в других магазинах (лучше всего покупать гифт-карты, которые анонимны и их потом легко продать). Так что утечка действительно серьёзная
Специалисты по безопасности говорят, что именно сайты небольших интернет-магазинов сейчас стали самой привлекательной мишенью для взломов по сочетанию выгоды и лёгкости взлома. У них просто меньше ресурсов и квалификации, чтобы защититься. Согласно опросу SecurityMagazine, только 31% представителей малого бизнеса «предприняли активные действия для защиты от взломов системы безопасности, а 41% вообще не осведомлены о таких рисках». Похоже, за неосведомлённость кое-кому придётся платить.
Комментарии (39)
aram_pakhchanian
30.04.2017 12:16Они только убрали стартовую страницу, остальные работают. Вот, например.
aram_pakhchanian
30.04.2017 12:21+1И у них еще вот тут написано:
You can rest easy. This site is secured by the latest encryption technology. Your data is never outside of our control. And your products are covered by the best manufacturer's warranties in the industry.
Zmiy666
30.04.2017 13:07-6Хм… это Америка, там повальное увлечение пластиком. Нормальные люди не станут светить свою кредитку в интернете ни при каких условиях. Лучше пользоваться электронными валютами типа киви, с их одноразовыми кредитками.
Fagot63
30.04.2017 13:19+2Нормальные люди держат две карты. На одной деньги, другая только для оплаты. Перевод в том же сбере дело пары минут, а карта для оплаты пустая, воровать нечего. Основная же в куда большей безопасности, т.к. нигде не светится. Никаких процентов за переводы между своими картами да и часто при оплате.
forgot10
30.04.2017 20:13Пары минут?! Всю жизнь в сбере переводы между своими счетами занимали 6-12 часов. Причем деньги списываются сразу, а поступают хрен знает когда. Может есть какой-то трюк?
Причем на чужую карту моментально.ptica_filin
30.04.2017 20:33Это у Вас какие-то особые трюки. У меня всю жизнь все переводы в сбере моментальные. И между своими картами, и на чужие, и с чужих. Причём свои карты у меня ещё и из разных сбербанков — одна в московском Сбере, а другая в среднерусском.
Zidian
30.04.2017 20:55Подтверждаю. Аналогично со сбером.
С чужого счёта — мгновенно. Между своими счетами — минимум несколько часов.toshiba1984
30.04.2017 21:48+2Странно. По несколько часов у них переводы только если на кредитную карту переводить, а вот дебетовые моментально всё переводится.
DistortNeo
01.05.2017 00:19По-моему, в остальном мире так никто не заморачивается. Скомпрометировали карту — да ничего страшного, банк выпустит новую, а украденные деньги вернёт. Это гораздо удобнее для клиента, чем при каждой покупке проделывать кучу манипуляций. Видимо, компрометация данных банковских карт в интернете не является серьёзной проблемой для банков на данный момент.
Ну не забывайте, что в США использование кредитных карт гораздо более распространено. Половина онлайн-покупок делается с использованием кредитных карт (link). Просто потому, что так удобнее.
Barafu
30.04.2017 16:11+1Киви и прочие вебмани тоже тырят живо и решительно, только другими способами. Причём, в отличие от банков, никаких государственных гарантий на них нет.
OnYourLips
30.04.2017 17:32И платить 100500 комиссий за перевод, используя денежные суррогаты?
Не вижу ничего страшного в использовании карты, в крайнем случае будет всего лишь разговор со службой безопасности и отмена транзакции.
Надо помнить, что и банк, и законы на вашей стороне. Деньги точно не потеряете.
mammuthus
03.05.2017 16:28Надо помнить, что и банк, и законы на вашей стороне. Деньги точно не потеряете.
Вы сотрудник банка?
Деньги можно легко потерять, как показывает история, даже по вине этих самых банков и законов (читай государства), без всяких компенсаций.
mrsantak
30.04.2017 20:51+1Ну вот я видимо ненормальный человек. На дворе 21 век, 3d secure и все такое. Зачем пользоваться всякими киви для меня загадка.
isden
30.04.2017 22:52+13D secure вещь пока не обязательная. Некоторые товарищи вон и на минимальный AVS и даже на CVV забивают (я правда точно не уверен, как у них это выходит, но вот в Амазоне CVV не спрашивали при оплате). Да и не очень надежная. Я как-то два с лишним часа смску с кодом ждал. А один раз она вообще не пришла.
А с киви удобно тем, что закинул N денег, купил одноразовую карточку сроком на три месяца и все, рискуешь только суммой на ней.
Ну и в киви можно купить вирт. карту в нескольких валютах, что может быть дешевле (даже с учетом всех процентов киви) конвертации, например, в PayPal или в другой платежке в каком-то магазине.mrsantak
01.05.2017 12:02Любая платежная площадка может забить на 3d secure и CVV, но взамен она несет ответственность за сделку. Это значит, что в случае мошеннической транзакции площадка обязана до разбирательств вернуть вам деньги после вашего заявления в банк. Это означает, что фактически вы рискуете только походом в банк а не деньгами на карте.
isden
01.05.2017 12:08+1Ну вот лично мне очень жалко тратить время и нервы на все это дело. Мне проще заплатить условные 2 процента киви (до некоторых пределов, разумеется) и перестать беспокоиться.
mrsantak
01.05.2017 12:38Ну а мне лень тратить время и нервы на все эти переводы между киви и своими счетами в банке. Мне проще брать и пользоваться карточкой и перестать беспокоиться.
isden
01.05.2017 14:05Там нет никаких затрат, привязал реальную карточку к одному провайдеру (пополнение в пару кликов) и пользуйся его вирт.картами где угодно.
Fagot63
01.05.2017 13:17А чем хуже тогда та же виза моментум от сбера? Денег за обслуживание не берут, процентов за пополнение/снятие нет. Переводы обычно мгновенны.
isden
01.05.2017 14:06+1Сбера у меня нет и заводить желания тоже не особо :( Может быть когда-нибудь, но пока — нет.
Dmitry_4
01.05.2017 14:07Её где-то принимают?
Родители не могут купить с пенсионной карты сбера ни билет на самолет, ни отель.Fagot63
01.05.2017 14:41У неё есть CVV код на обратной стороне? У отца такая, пенсионная, без кода была. То же была проблема с оплатой и онлайн переводом.
DistortNeo
01.05.2017 16:08Да, её принимают, но ограничения довольно жёсткие, потому что карта неименная. Вот тут можно почитать подробнее.
На самом деле, сам Сбер ещё дополнительно закручивает гайки. Вот работодатель сменил мне карту с Maestro на Visa Classic (типа, более защищённая). Теперь пользоваться картой стало сложнее — Сбербанк по умолчанию блокирует операции, которые раньше без проблем проходили. При поездках за границу карточку от Сбера вообще можно смело оставлять дома, как мне кажется.
Dmitry_4
01.05.2017 17:23Она именная, но как-то недоэмбоссировна — буквы выдавлены еле-еле
Вот номер у нее нестандартный, насколько я помню
rozboris
01.05.2017 00:14Это не так: в Америке все платят кредитными картами, а потом раз в месяц оплачивают счет от банка. Платежи по кредитке защищены банком. Если кто-то крадет деньги с кредитки, то они украдены не у тебя, а у банка (главное, это вовремя заметить).
Клиент говорит банку "я это не покупал" (chargeback) и дальше банк сам разбирается с недобросовестным магазином, который посмел взять его деньги без спроса.
У кредиток, например Visa, вообще много преимуществ — например, расширенная гарантия и страховка.DistortNeo
01.05.2017 01:53+2Это не так: в Америке все платят кредитными картами, а потом раз в месяц оплачивают счет от банка.
Нет, это уже давно не так. Да, до 90-х все карты были кредитными, а транзакции — оффлайновыми, но сейчас в США кредитные и дебетовые карты используются примерно поровну.
Если кто-то крадет деньги с кредитки, то они украдены не у тебя, а у банка (главное, это вовремя заметить).
Нет, причина не в этом. Основная причина — низкая безопасность кредитных карт в США, из-за чего банки вынуждены идти навстречу клиентам.
Корни здесь исторические — раньше все транзакции с кредитками были оффлайновые и не отличались от выписывания чека. Прелесть кредитных карт заключалась в том, что ими можно было расплатиться где угодно, а для оплаты картой не требовался ни терминал, ни даже электричество. И это legacy так и дошло до наших дней. В то время, как весь мир уже пользовался чипованными кредитными картами, в США их доля была ничтожна. Лишь сейчас идут подвижки в сторону полного отказа от использования нечипованных кредитных карт.
Дебетовые карты же изначально были более защищёнными (только онлайн-транзакции, только терминалы с использованием пин-кода), поэтому мошенничество с их участием было явлением более редким.
mrsantak
01.05.2017 12:06+1Клиент говорит банку "я это не покупал" (chargeback) и дальше банк сам разбирается с недобросовестным магазином, который посмел взять его деньги без спроса.
Это свойство платежных систем VISA и MC, а не кредиток. Правила платежных систем четко разграничивают кто и в каких случаях несет ответственность за транзакции. А кредитка там или не кредитка — дело десятое.
DjOnline
30.04.2017 16:34+1Что заставляет их хранить данные у себя, ещё и проходить довольно непростую сертификацию PCI DSS (вообще непонятно как они её прошли на самом деле)? Почему бы не использовать платёжные системы и агрегаторы, которые намного более сильнее защищены?
isden
30.04.2017 20:38+1> как они её прошли на самом деле
Есть у меня подозрения, что они либо не проходили её вообще, либо очень давно. Ну ибо реально адский ад у них там был, судя по статье.
evil_kabab
02.05.2017 08:54+1В принципе можно шифровать данные карточки, тогда кража дампа базы данных ничего не даст.
Другой вариант не хранить вообще ничего кроме имени, типа карты, номера предыдущей транзакции и последних 4-х цифр. Когда надо сделать транзакцию клиенту показывают тип карты (Visa, MC, AMEX) и последние цифры. Клиент одобряет, тогда сайт посылает процессору кредиток номер предыдущей транзакции и детали заказа. Процессор по номеру транзакции знает какая карточка была использована. Это из рекомендаций CDI
640509-040147
05.05.2017 08:54> Перевод в том же сбере дело пары минут
Это в какой-то параллельной вселенной? Внутри одного аккаунта, между разными счетами перевод занимает не менее пары часов. Был случай когда и сутки деньги переходили.
alexhott
А зачем вообще хранить данные карт. Только лишь чтобы покупатель мог одним клинком купить и не вводить каждый раз. Это конечно удобно, но одна две таких утечки и можно всех покупателей потерять. Не поле ли работу с данными карты доверить банку эквайеру?
isden
> А зачем вообще хранить данные карт.
Исторически сложилось. В Штатах еще недавно было очень популярно просто тупо по телефону/факсом пересылать данные кредиток, и никто особо не парился. Или еще оффлайновый «прокатный станок» (не помню точно как он называется, там кладется карточка, прокатывается валик, и получается отпечаток карты в документе/чеке).
> Только лишь чтобы покупатель мог одним клинком купить и не вводить каждый раз.
Это вполне решаемо и без хранения всех данных карточки. Много платежек это умеют.
Более того, по современным требованиям PCI DSS хранить данные уже нельзя (вернее можно, но только после адской сертификации), иначе штрафы.
tormozedison
Импринтером он называется.