Взлом Chronopay
dl // 27.12.10 15:57
Утро понедельника встретило посетителей сайта платежной системы Хронопей сообщением о взломе базы, который привел к утечке всех персональных данных пользователей системы за два последних года - включая полную информацию по использованным кредитным картам.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2010/12/09.html]
К сообщению прилагалась рекомендация немедленно заблокировать карты, использованные для платежей через систему.
Чуть позже руководство Хронопей опровергло это заявление, заявив, что у них "всего лишь" угнали домен компании и разместили там это объявление - для дискредитации компании.
Угон домена у платежной системы - не самая лучшая ее характеристика, но это все же из серии "ужас", а не "ужас-ужас", вроде бы пользователи могут спать спокойно. Правда, утверждается, что в течение некоторого времени была подменена и веб-форма платежного шлюза, где был установлен уже отключенный редирект на ресурсы взломщиков (не вполне понятно, использовалось ли это для кражи информации).
Однако чуть позже взломщики решили подтвердить свои заявления, выложив в открытый доступ ssl-сертификаты, используемые системой, и фрагмент базы по использованным кредиткам. На первый взгляд сертификаты выглядят вполне правдоподобно, что же касается данных - как минимум есть уже один человек, опознавший себя (хотя как раз не исключено, что это привет перехвату платежной формы, данные больше похожи не на дамп базы, а на лог того, что вводили пользователи).
Так что, возможно, рекомендация заблокировать карту не так уж преждевременна - особенно если на ней не включена услуга слежения за операциями.
