Ошибки старого безопасника 6
С Украины пишут, как поймали очередного мошенника, который подделывал карточки пополнения баланса оператора связи. Насколько можно понять, декодировав правоохранительный канцелярит, злоумышленник ломанул БД оператора, где хранились коды таких карточек. Остаётся неизвестным, был ли это инсайдер, превысивший свои полномочия или чисто внешний хакер. Первое (как следует из статистики) более вероятно.
В практике вашего покорного слуги был один похожий случай, когда билинг провайдера ломанули снаружи.
Там тоже была "карточная система" для пополнения баланса. Кому-то из маркетинга пришла в голову светлая мысль, которую вовремя не погасил специалист по информационной безопасности (возможно, ввиду отсутствия такового). Мысль была: проводить сетевую лотерею среди пользователей (в т.ч. потенциальных), а призами сделать упомянутые карточки пополнения баланса мелких номиналов. Чтоб не возиться с доставкой карточек призёрам, лотерейный скрипт сам генерировал необходимые номера и пин-коды, обращаясь прямо в БД, где они хранились. Ну, вы уже всё поняли, да? Этим-то каналом и воспользовался злоумышленник. Через какой-то третьестепенный уязвимый скрипт веб-сервера он получил доступ к тексту "лотерейного" CGI-скрипта, в котором увидел логин-пароль и параметры обращения к БД.
Интересное в этом примитивном взломе то, что утечку денег заметили только через полгода. Хакер, пользуясь полученной информацией, скромно генерировал карточки оплаты себе и своим друзьям. Установленных номиналов - 5 и 10 долларов. Но со временем он обнаглел и стал куражиться - нагенерировал кучу карт нестандартных номиналов (параметр взломанного скрипта устанавливал номинал карты). Через несколько дней кто-то из бухгалтерии случайно заметил в отчёте пополнения баланса на 99 долларов (параметр был двузначный). Только после этого началось расследование.
Мораль. Допустить утечку было бы плохо. Однако простительно: с кем не бывает. Гораздо хуже (в плане убытков) вовремя не заметить утекающую струйку дензнаков. Слышали такой термин - "fraud management"? Задумайтесь: не "борьба" и не "предотвращение"...
В практике вашего покорного слуги был один похожий случай, когда билинг провайдера ломанули снаружи.
Там тоже была "карточная система" для пополнения баланса. Кому-то из маркетинга пришла в голову светлая мысль, которую вовремя не погасил специалист по информационной безопасности (возможно, ввиду отсутствия такового). Мысль была: проводить сетевую лотерею среди пользователей (в т.ч. потенциальных), а призами сделать упомянутые карточки пополнения баланса мелких номиналов. Чтоб не возиться с доставкой карточек призёрам, лотерейный скрипт сам генерировал необходимые номера и пин-коды, обращаясь прямо в БД, где они хранились. Ну, вы уже всё поняли, да? Этим-то каналом и воспользовался злоумышленник. Через какой-то третьестепенный уязвимый скрипт веб-сервера он получил доступ к тексту "лотерейного" CGI-скрипта, в котором увидел логин-пароль и параметры обращения к БД.
Интересное в этом примитивном взломе то, что утечку денег заметили только через полгода. Хакер, пользуясь полученной информацией, скромно генерировал карточки оплаты себе и своим друзьям. Установленных номиналов - 5 и 10 долларов. Но со временем он обнаглел и стал куражиться - нагенерировал кучу карт нестандартных номиналов (параметр взломанного скрипта устанавливал номинал карты). Через несколько дней кто-то из бухгалтерии случайно заметил в отчёте пополнения баланса на 99 долларов (параметр был двузначный). Только после этого началось расследование.
Мораль. Допустить утечку было бы плохо. Однако простительно: с кем не бывает. Гораздо хуже (в плане убытков) вовремя не заметить утекающую струйку дензнаков. Слышали такой термин - "fraud management"? Задумайтесь: не "борьба" и не "предотвращение"...