В конце июля-начале августа в блогах появилась информация о том, что были взломаны серверы Chronopay — крупнейшего российского процессинга банковских карт. Взлом связывался с недоступностью Chronopay, который не работал несколько дней в начале июля. В качестве доказательства того, что взлом имел место, команда хакеров опубликовала данные кредитных карт, якобы похищенных в результате взлома, а также ряд внутренних документов компании Chronopay. Эти документы касаются уголовного дела, в котором некоторые сотрудники Chronopay являются свидетелями.

Информация о взломе как минимум подозрительна. В частности, группа, опубликовавшая ее пообещала предоставить полную копию полученной базы банковских карт журналистам — но не всем, а только тем, кто до запроса базы уже опубликовал материал, посвященный взлому. В ответ на такое предложение сами журналисты запросили у хакеров данные их собственных карт, которыми они платили через ChronoPay. Номера кредиток представлены не были, а были даны обещания прислать очередной компромат на ChronoPay. Такое поведение «взломщиков» вызывает подозрения в том, что база у них не настоящая. Сами по себе данные карт достаточно легко сфальсифицировать. Простейший способ — недорого купить какую-нибудь не самую качественную базу у кардеров. Это существенно дешевле организации DDOS-атаки или взлома. Помимо номеров карт, выложенная информация содержала внутренние документы Chronopay и переписку сотрудников. Нетрудно заметить, что работа офиса платежной системы ведется совсем не через те серверы, через которые проходят платежи. Таким образом, чтобы получить эту информацию необходимо было взломать не одну систему, а две — платежные серверы и офисную сеть.

Опубликованная внутренняя документация датируется весенними месяцами. Если верить группе, распространившей информацию, взлом имел место в тот момент, когда Chronopay не работал — то есть в июле. Если в этот момент удалось похитить внутренние документы Chronopay, это значило бы, что они хранились все это время, а если компании действительно есть что скрывать, то зачем это скрываемое хранить. Это крайне нелогичное поведение: некоторые сотрудники Chronopay являются, как уже говорилось ранее, свидетелями по уголовному делу. Учитывая легкость превращения свидетелей в обвиняемых, вероятность обыска в офисе весьма и весьма высока. В таких обстоятельствах хранить там компрометирующую информацию было бы верхом неосторожности. Кроме того, против версии взлома говорит и тот факт, что взлом с целью хищения данных явно не должен сопровождаться «падением» системы. Также обращает на себя внимание и общая стилистика публикации, где доказываются аудиозаписями и материалами (поддельными или нет — установить человеку со стороны невозможно) отнюдь не те факты, которые упомянуты в тексте.

С другой стороны, опубликованные данные содержат некоторое количество внутренней информации, связанной с Chronopay и уголовным делом, которую нельзя было бы сфальсифицировать, не обладая хорошим знанием происходящего в компании. Утечка могла быть не в результате «взлома», о котором пишут хакеры, а в результате подкупа кого-то из сотрудников. Инсайд – классический инструмент ведения корпоративных войн.  Это позволяет утверждать, что с высокой вероятностью утечка все же была — в меньших масштабах, чем пытаются представить авторы записей в блогах, не того характера, о котором они говорят — но вполне возможно, что была. В Chronopay не отрицают такой возможности — естественным образом при этом отказываясь прокомментировать, какая же часть соответствует действительности.

Для более полного понимания ситуации, Moneynews обратились к cтаршему консультанту по информационной безопасности компании Sysnet, QSA PCI DSS Алексею Гребенюку. Реакция компании на сбой выглядит неуверенно, — полагает г-н Гребенюк: «В течение двух дней — 05.07.10 и 06.07.10 — платежные сервисы Chronopay были недоступны. Представители компании заявили, что это было вследствие масштабного сбоя используемого системой программного обеспечения операционной системы. Сама характеристика этого сбоя, выданная представителями компании, не позволяет  определить суть произошедшего. Для технических специалистов выданная характеристика сбоя позволяет только заявить, что специалист, подготовивший комментарий компании слабо или совсем не разбирается в технических вопросах». Тем не менее, признать факт взлома с уверенностью нельзя. «Опубликован кусок базы данных держателей платежных карт, и по идее какие то граждане России могли обнаружить данные своих карт. Пока таких данных нет. Расположение серверов и фрагменты переписки может оказаться инсайдерской информацией, умело «вброшенной» обиженным сотрудником. Кроме того, практически месяц назад этой группой «хакеров» было распространено заявление о том, что в ближайшее время в интернете будет опубликована полная база данных кредитных карт и личных данных. Этого тоже пока не произошло», — поделился сомнениями Алексей. Кроме того, компания успешно соответствует стандартам PCI DSS. Это говорит о том, что взлом не слишком вероятен — хотя и не невозможен. По мнению г-на Гребенюка, могло иметь два вида нарушений требований PCI DSS: могли быть нарушены требования по межсетевому экранированию или требования по IPS и контролю целостности. Если атака была осуществлена успешно, это означает, что либо некачественно сработала немецкая компания-аудитор, либо после аудита произошли существенные изменения. Это означает, что аудитору необходимо осуществить внимательную проверку. Поэтому, уверен Алексей Гребенюк, состояние неопределенности не продлится долго – либо появится подтверждение факта утечки – в виде той самой базы данных, которою обещали выдать еще месяц назад, либо все проверки, в том числе и компании – аудитора, покажут, что заявленный «взлом» — всего – навсего попытка опорочить «Chronopay».

Кратко ситуацию можно описать следующим образом. Очевидно, имеет место вполне ясная кампания с целью дискредитации Chronopay. В этой кампании очевидно используются подтасовки и фальсификации. Однако помимо них имеют место и вполне настоящие утечки, без которых едва ли удалось бы сфальсифицировать весь пакет компромата. Наиболее интересующий миллионы пользователей вопрос — утекли ли данные их карт. Скорее всего, утечки данных карт не было (как бы авторы блога ни демонизировали руководителя Chronopay Павла Врублевского, сложно поверить в то, что он мог бы долгое время водить за нос QSA PCI DSS).
 

(Всего прочитано 58 раз, из них 1 посещений сегодня)
0