Опубликованы новые данные из взломанного процессинга Хронопэй

chronoplay — 29.07.2010

Опубликованы новые данные из взломанного процессинга Хронопэй

Ровно неделя прошла с момента опубликования заявления группы хакеров о взломе платежной системы «Chronopay», краже массива кредитных карт http://chronoplay.livejournal.com/586.html и личных данных миллионов россиян.

Поскольку официальные лица компании продолжают делать вид, что ничего не произошло http://www.kommersant.ru/doc-y.aspx?DocsID=1475754 группа вынуждена опубликовать новый массив данных, переданных неделю назад только журналистам и регуляторам рынка Visa и Mastercard. Так же взломщики подтвердили свою решимость передать официальным правоохранительным органам, а так же СБ ОАО «Аэрофлот», assist и Мультикарта доказательств прямого участия Павла Врублевского в атаке на http://safe.cnews.ru/news/top/index.shtml?2010/07/26/402503 платежные шлюзы конкурентов.

Опубликованные данные:

Секретные ключи для связи с банками, Arcot-сертификаты, а так же скан кредитной карты самого Redeye http://www.sendspace.com/file/4y9jll

В настоящий момент готовится открытая публикация архива почты компании Хронопэй за первую половину 2010 года, так же полной базы данных украденных кредитных карт и личных данных. Данные по кредитным картам и транзакциям будут представлены в виде зашифрованной паролем базы данных на 10Гб (пример на 1000 полных данных http://www.sendspace.com/file/nf9ztv). Пароль будет выслан по запросу ТОЛЬКО сотрудникам правоохранительных органов в рамках официального расследования, СБ Visa и Mastercard, а так же журналистам федеральных и крупных Интернет-СМИ, опубликовавших информацию о данном инциденте до момента публикации базы.

Резервный хостинг информации http://openfile.ru/658212/

Ниже публикуются ответы на ряд возникших с момента прошлой публикации вопросов:

Информация по нашей группе ни для кого особого смысла не имеет. Группа занимается безопасностью. Уровень ее очень высок. Она не стремится к рекламе.

Доказывать всем, что взлом был так же не имеет смысла. Мы привели достаточно информации из системы для понимания этого. Это не только номера кредиток, это и ключи аркот и банковские ключи и прочее. Произошел он в начале этого года. С этого момента и до последнего времени все сервера, имеющие отношение к Врублевскому, были под полным контролем.

Был получен дамп базы данных Хронопэй (в специальном формате, который используется системой PostgreSQL для создания резервных копий). Были скопированы абсолютно все данные, касающиеся системы Хронопэй. Это действительно большой объем разносторонней информации, участвующей на всех этапах их технологического процесса. Условно мы бы разделили все данные на два логических направления:

1) Персональные данные клиентов (держателей карточек), и других контрагентов самого Хронопэя.

2) Вспомогательные технические данные:

статистическая информация, информация от антифрод систем, информация использующаяся для построения взаимодействия с банками и т.д.

Ясно, что именно второй кусок занимает терабайты информации. Важные данные заняли в архиве менее 10 гигабайт. И их было увести достаточно несложно.

Что касается МТС или Комстар. В базе, несомненно, содержатся персональные данные клиентов этих компаний. Но только тех клиентов, которые пользовались услугами Хронопэй для пополнения своих счетов.

По поводу утверждений, что номера кредиток хранились виде 1234хххххххх1234 - это не совсем правда. Да, действительно, дабы соблюсти необходимые требования по безопасности, продиктованные VISA и Mastercard, Хронопэй не хранил номера кредитных карт в головной базе данных.

Но.. В их сложном технологическом процессе присутствует один важный элемент, о котором, естественно, никакой представитель Хронопэй вам никогда не расскажет (об этом факте знают всего лишь несколько посвященных сотрудников из технического отдела и отдела безопасности компании). Речь идет о системе мониторинга. Чтобы было понятнее - это некий автономный сервер, получающий отладочную информацию от платежного шлюза Хронопэй о каждой проводимой операции. На протяжении многих лет он сохраняет ПОЛНУЮ информацию по каждой транзакции (т.е. сохраняются даже те данные, которые по требованиям VISA и Mastercard не допускаются к хранению). Содержатся эти данные, естественно, не в головной базе, а исключительно локально в файловой системе сервера. Видимо, специалисты Хронопэй полагали, что их маленький секрет никогда не станет известен постороннему. Естественно, все эти отладочные данные тоже были скопированы, и именно оттуда была взята информация по номерам кредитных карт.

Второй путь получения номеров кредиток состоял в том, что у Врублевского в рамках системы Хронопэй есть законная и подконтрольная ему противозаконная деятельность (процессинг продажи контролируемых и наркосодержащих препаратов, процессинг продажи ложных антивирусов, контрафактного софта, контрабандных сигарет в Европу и прочее). Все эти субсистемы имеют свои базы, располагавшиеся на связанных с Хронопээм площадках. И, например, скачав базу РХ-promoution, мы получили сотни тысяч досье на американских граждан (кусок мы вам высылаем как пример хранения данных в базе, аналогичный кусок мы выслали в ФБР для принятия мер реагирования).

Вопрос времени всегда очень индивидуален. Представьте себе, что каждый проект рано или поздно может быть скомпрометирован. Но затраты времени на его компрометацию напрямую связаны с финансовыми затратами, поэтому данный ресурс всегда является ограниченным. Хорошо защищенная система - это та, на взлом которой придется затратить гораздо больше средств, чем потенциальный объем выгоды, получаемой атакующим в результате успешного взлома. Иногда имеет смысл работать над осуществлением атаки целый год. А иногда непозволительно тратить даже два-три дня.

В вопросах собственной безопасности, компания Хронопэй больше сконцентрирована на соблюдении различных формальностей:

стремление соответствовать тем или иным требованиям или стандартам,

бесконечная подготовка каких-то рутинных документов, отчетов и т.п. по принципу “казаться, а не быть”.

При этом технический аспект реализации безопасности в компании был и остается на достаточно низком уровне. И занимается этим вопросом почему-то технический отдел (администраторы системы) нежели отдел безопасности (в чьи прямые обязанности это обычно должно входить). Как вы понимаете, у администраторов системы и своих забот хватает. Поэтому технические мероприятия в этой сфере обычно откладываются "на завтра". Ну что можно хотеть от компании, где добрая половина должностей в отделе безопасности занята бывшими сотрудниками МВД, получившими свои рабочие места за личные заслуги перед господином Врублевским. А наиболее креативная вторая половина отдела занимается лишь тем, что мешает работать остальным сотрудникам компании (умудряясь при этом не внедрять никаких конкретных технических решений).

В итоге мы бы оценили безопасность компании Хронопэй на 4 по десятибалльной шкале. Для процессинговой компании это, безусловно, неудовлетворительная оценка.

Основная угроза от Хронопэй для рядовых пользователей заключается именно в том, что в рамках одной системы присутствуют как легальные так и нелегальные элементы. Те же администраторы занимаются порно для Врублевского, те же сотрудники СБ рекламируют наркосодержащие препараты. Те же админы поддерживают standartpay, который никто не сертифицировал и так далее. Если Интернет система строится на личной преданности, а не на профессиональных качествах сотрудников, то она не может быть суперзащищенной. Это, скорее, группа интернет-аферистов, а не сложнейший технологический продукт.

Теперь к вопросу о продаже базы или ее частей.

Мы не собирались и не собираемся делать подобное.

Как вы видели, даже номера кредиток мы привели без имен и дополнительных данных – только для МПС. Специально для Вас и еще ряда людей (российские и западные журналисты и правоохранительные органы) мы предоставили 1000 пользователей со всеми данными, ключи аркот, ряд технической информации.

Цель нашей группы – добиться международного расследования деятельности Врублевского. Безусловно, в цепочке деятельности Хронопэй присутствует много организаций и людей, которые закрывают глаза на его деятельность в угоду личным интересам. Например, как следует из переписки Врублевского, отдел «К» МВД трясет с него деньги (последние 200 тысяч долларов он занес всего пару недель назад), процессинги и банки получают сверхдоход (Мастербанк процессил наркотики и фальшивый софт, AzeriCard & AGBank (Азербайджан) делает это до сих пор, UCS процессили контрабанду сигарет в Европу, Valitor (Исландия) тоже засветился, но достаточно быстро Хронопэй был отключен), службы безопасности Visa и Mastercard имеют всю подробную информацию по деятельности Хронопэй уже давно, однако что-то им мешает предпринимать реальные действия.

Поэтому нашей группой было принято решение “взбодрить ситуацию”.

Надеемся, в ближайшие дни, перечисленные организации начнут делать то, что положено по закону и нам не придется выкладывать потранзакционно доказательства их явного или неявного соучастия в преступной деятельности.

Удачного вам дня ;-)

Сохранено