Про взлом Chronopay
Originally published at Лично/общественный дневник Эльдара Муртазина. You can comment here or there.
Утром произошел дефейс сайта Chronopay, там появилась вот такая картинка.
Из нее следовало, что взломана база, но учитывая характер происшествия доверия этим сведениям просто не было. Потом появилась вот такая запись в ЖЖ - http://chronofail.livejournal.com/524.html
В ней уже приводится якобы кусочек данных по картам, включая CVV код. И вот тут возникают самые большие вопросы. Например, Синодов нашел свою карту и заблокировал ее. Но история выглядит крайне странно, особенно учитывая, что в Chronopay не могли хранить в базе CVV коды (если исходить из предположения, что они не полные идиоты, которым нам пытаются их выставить). В рассмотрение принимать текущие отзывы Хронопея, что у них не взломана база, не стоит. Это нормальная практика отрицать все до последнего момента. Давайте посмотрим на ситуацию с позиции здравого смысла.
В приведенной ссылке есть файл с дампом базы с номерами, где Синодов и обнаружил себя. Там не так много людей, что заставляет предположить возможность, что их данные могли быть собраны каким-то другим способом (если считать, что это наезд конкурентов хронопей, то у них также есть возможность принимать платежи и видеть свою базу данных). Первый вопрос звучит так, пользовались ли перечисленные в списке люди другими платежными системами и если да, то какими. Ответить на него смогут сами люди. Если напрягутся и вспомнят.
Другие возможности для получения такой информации существуют, но мне слабо верится, что кто-то смог получить полную базу данных Хронопея, не имея внутри крота. От взлома изнутри не застрахована ни одна система и тут могло произойти это. Печально. Но и такое бывает. Вопрос в другом, что тот формат в котором подается информация заставляет меня считать, что люди действуют методично и целенаправленно для того, чтобы провести черный PR против Хронопей. И поэтому доверия вся информация с той стороны не вызывает, как впрочем и ответы Хронопей, которые оказались крайними и будут долго отмываться от этой истории.
Цель нападающих де-факто уже достигнута. Но меня смущает в этой истории и другой аспект. Нападающая сторона настолько уверена в своих технических возможностях, что не скрываясь признается в уголовных преступлениях, рассчитывая на безнаказанность. И это несколько удручает. Где у нас управление «К», где их возможности для перехвата информации и так далее? Почему публично не происходит избиение (в переносном смысле), как исполнителей, так и заказчиков. Дело такое, что только в путь. Все выиграют от того, что такого просто не будет в будущем.
Ну а Хронопей необходимо открыто выступить с объяснением ситуации. Сейчас закрытость приносит только вред и он нарастает с каждым часом молчания. Гасить такие ситуации надо в зародыше. И да, я не отрицаю того факта, что с безопасностью в Хронопей есть точно проблемы, если у них смогли увести домен.
P.S. У меня все витает в голове мысль, что Юру Синодова использовали в темную и рассчитывали на такую его реакцию. Уж больно кирпичики гладко на свои места встают.
Update. Данные утекли видимо все-таки изнутри компании за короткий период времени (по наличию SSL сертификатов), либо добрые люди смогли встроить себя посерединке и недолго пособирали информацию. Карты показанные в файле примере совпадают с реальными людьми, но могли быть собраны и скорее всего собраны другими способами.
Службы безопасности ряда банков извещены и предлагают не волноваться, если вашей карты нет в списке. Мне голосом это подтвердили в двух моих банках. Так, что довольно смешная ситуация. Идет информационная атака на Хронопей, а они не отбиваются никак, теряют время и возможности для комментариев. Ну как так можно прососать все на свете ? Надо активную позицию занять и работать с людьми. Потому что напуганые люди блокируют свои карты, а такое действие означает, что они Хронопей будут обходить в будущем по дуге.
Один из сотрудников Хронопей (не проверял, реальность этого человека, мы не знакомы) написал довольно внятно о ситуации