Как мошенники крадут данные пластиковых карт через систему мобильной аналитики

Дмитрий Ковалёв, глава компании-разработчика Lodoss, рассказал на своей странице в «Фейсбуке», как системы мобильной аналитики могут быть использованы для кражи данных пластиковых карт.

Пришел к нам однажды заказчик с одним работающим мобильным приложением. Попросил добавить туда некоторый функционал. Мы посмотрели код и увидели, что используется штука для аналитики, которая называется APPSEE. Круто думаем, сейчас посмотрим какие есть проблемы.

Попросили у заказчика доступ к этой штуке, а заказчик сказал, что и сам не знает откуда она там взялась. Видимо, предыдущий программист добавил. Мы немножко напряглись. Подумали и не стали отключать, а решили вернуть доступ. Написали в саппорт, объяснили ситуацию и буквально за пол дня нам вернули доступ.

Мы [сильно удивились] от того что увидели. Эту APPSEE можно настроить так, чтобы записывать видео с указанных экранов. И настроена она была на запись видео с экранов, где человек вводил данные от своей кредитки или PayPal. У нас оказалась гора видеозаписей на которых видно как люди вводят свои данные. Если бы я не был добрым, я бы был богаче.

Не вводите свои данные в [нехороших] приложениях. Вас может снимать скрытая камера.

Добавить 8 комментариев

  • Ответить
    Юрий Синодов Основатель Roem.ru, sinodov.com

    Как говорится: «И чооо?»

    Видел чувака, следившего за соседом в телескоп в своей квартире за тем, что печатает сосед у себя на клавиатуре. Бойтесь

    Видел одного товарища, который смотрел, что коллеги печатают в офисе. Бойтесь.

    С такими советами только на кладбище пойти, это раз.

    А применимость этой схемы для мошенничества — околонулевая: мошенникам нужна масса данных. Массу данных получают только популярные приложения. Популярным приложениям (зарабатывающим на чем-то деньги (!)) больше делать нечего, кроме как тырить данные с кредитных карт юзеров. Это два.

  • Ответить
    Not Now Маленькая красная точка сверху

    Охранник любого офиса может видеть как люди вводят пароли/смс и прочие данные на телефонах и компьютерах. Камеры же повсюду развешаны

  • Ответить

    Одни разводят истерику и кричат про «зонды ЦРУ» из-за некоторых вполне себе невинных функций Windows 10, радуются блокировке LinkedIn, «воровавшей персональные данные россиян», и хватаются за сердце, заслышав как у очередной компании утекли какие-нибудь хэши. Другие же читают про явно подозрительную аналитику, которая очевидно не обезличенно записывает видео с экранов устройств в момент ввода платежных данных и хранит его непонятно где, как и зачем, и реагируют на все это уровне «ну и чо?». Чудесен мир в своем многообразии.

  • Ответить

    Кааак? Неужели, если что-то вводишь в приложении, то его владелец сможет получить эти данные?

    Неожиданность вселенского масштаба.
    Шок, интриги, расследования.

  • Ответить

    Предупрежден — вооружен. Это больше для информации владельцам приложений, что неплохо бы контролировать что там делают фрилансеры в твоей аналитике. Пример очередного раздолбайства.

  • Ответить

    Новость подтверждает тезис о том, как много неадекватных «глав компаний» в малом бизнесе. Если пройти по ссылке этого самого APPSEE, то они сразу же на главной странице и заявляют о функционале решения, да записывает, да, все происходящее на экране. Даже само название говорит о том, что все будет видно.
    Ждем нового поста от главы компании о том как ножи могут быть использованы для убийства человеческих существ.

  • Ответить

    Что толку от его FB?
    Пусть пишет сразу в MasterCard и VISA. И добавит в копию PCI SSC.
    Вот они то настучат по голове директору компании, которая владеет приложением.