Про сегодняшние проблемы с Chronopay

rauf — 27.12.2010 Мне сегодня не переставая сыпятся звонки от знакомых и друзей на эту тему. Напишу тут, чтобы развеять все вопросы. Я в Chronopay — руководитель по разработкам. Упрощенно говоря, руковожу разработкой процессингового софта и системами внутренней автоматизации. Мы делаем софт, который после передаем в эксплуатацию. В эксплуатации сегодня «пожар», как это всем видно из новостей. Итак, о проблеме. У нас довольно сильно разграничен доступ к информации, поэтому я могу прокомментировать лишь то, что мне видно и понятно.

В сети есть некий сайт, не буду приводить его тут, на котором выложили якобы кусок нашей базы. Надеюсь, всем понятно, что доказать отсутствие утечки невозможно в принципе, в то время как доказать утечку проще. Так вот, насколько известно мне, доказательств утечки базы ни у кого нет. Карты воруют много где, и тут я своих коллег поддержу. Какая-то база использована для компрометации Chronopay. Разумеется, многие из перечисленных карт и в нашей базе есть.

Но при этом выложенный якобы кусок нашей базы вызывает вопросы.

CVC2 — у нас просто нет этой информации, вообще нет. В выгрузке ее быть не может.

Номер карты — с какого перепугу там пробелы? какой кривизны должны быть руки у разработчика, чтобы сохранять в базу транзакций номер карты в том виде, в каком его ввели, да еще и неправильный (там есть ошибочные номера). И, конечно, он шифруется.

Expiredate не хранится в виде двух отдельных полей. А в выгрузке они так представлены.

Есть предположение, что эта база — перехваченные где-то формы ввода платежных реквизитов, выдаваемые за нашу базу. Это невозможно доказать, ни опровергнуть, но других объяснений, откуда взялась база с CVC2, я не вижу.

Кстати, известно, что злоумышленники воруют с реальных банкоматов пин-коды т.н. «скиммерами». Фактически, это утечка с банкомата конкретного банка, но, к сожалению, такие утечки невозможно предотвратить (не ставить же охрану рядом с каждым банкоматом). В сети такое более контроллируемо, но все равно есть масса подобных способов (например, кейлоггеры). Замыкать подобные проблемы сразу на банк (в случае банкомата) или на процессора (в случае кейлоггеров), не доказав — не совсем этично. Хотя, конечно, с точки зрения потребителя — логично.

Ну и сам факт якобы «утечки» данных не был бы заметен, если бы не кража домена chronopay.com, что действительно было. Отсюда и дефейс с ложной информацией, и проблемы с другими сервисами, где был задействован этот домен. Сейчас этим всем занимаются как технари, так и соответствующие органы.

Ну вот пока все, что я знаю. Я оговорился в начале — что пишу только про то, что знаю. А те, кто знают больше — сейчас «тушат пожар». Как потушат — разберусь и я сам. Может, напишу что.

Оставить комментарий

Популярные посты:

• Архив