Была ли утечка данных из ChronoPay?

да это никакие не хакеры, а чья-то злобная истерика. любой умный человек сразу видит натянутость предложенной «доказательной базы» и прицел на черный пиар. место таким публикациям на сайте компромат.ру или в желтой прессе, но в большинстве случаев журналисты умные люди, такие как Юрий Синодов :) они не ведутся на эту провокацию.

такая утечка принципиально невозможна, поскольку в соответствии с требованиями безопасности VISA и MasterCard, в базе данных платежных шлюзов НЕ хранятся полные номера банковских карт и CVV. все остальное — это домыслы черных пиарщиков, их попытки уронить репутацию лидера рынка. Цель — снизить уровень доверия к компании со стороны ее клиентов и переманивание этих клиентов. Впрочем, все те же задачи, что были по ассисту (у которого увели аэрофлот), но только методы несколько иные.

> базе данных платежных шлюзов НЕ хранятся полные номера банковских карт и CVV. Полные номера карт можно хранить.

>> «кусок базы данных, содержащий около 5000 номеров кредитных карт» — даже если будут полные номера карт, все равно для кражи нужны cvv коды, которых в файле нет. Так что это фигня, никаких многомиллиардных хищений со счетов российских граждан не предвидится. Паника отменяется, господа, это утка! )

Ахаха, ну файл с цифрами – это и я могу! ))) меня смущает и восхищает одновременно апдейт внизу – о том, что сносятся файлы с хостингов. Щас все прекрасно работает, а вот по ссылкам «вся информация одним файлом» — просто текст статьи,что по главной, что по резервной. Я вообще-то ожидала увидеть архив со всеми данными, чтоб не лазить по ссылкам, а там текст, который я уже прочитала. Бред какой-то :) или Павел Врублевский не только сносит, но и заменяет файлы на хостингах на бесполезные)) Все это выглядит как пиар-акция «сам шучу, сам смеюсь». Только тут «сам размещаю, сам удаляю»))))

2 timson Почему Вы решили, что неизвестны другие данные? При процессинге карты вводятся все ключевые данные карты для проведения транзакции через Интернет. На совести оператора какие и как хранит он эти данные. Ничто не мешает подобно Гуглу хранить другие данные, «wifi трафик для отладочных целей». Об этом никто не узнает пока не проведут независимый аудит. А кто же его проведет? Полагаю, никто. Разного рода аудит проводится а бы как. А тут контора, которая непублична по статусу. Вспоминаем Энрон, позже кризис ипотечных кредитов и национализацию крупнейших финансовых игроков в 2008 году в США. Даже если будут хищения — они вряд ли будут массовые т.к. приведет к принудительному перевыпуску всех карт, по которым транзакции проходили в Хронопей. Я думаю, любой банк так поступит. Для этого не нужны пресс-релизы. Достаточно внимательно посмотреть статистику транзакци и диспутов. А мелких случаев хищений никто говорить не будет — ни клиенты ни банки. Им это не нужно. Одной информации об афилированности компании с компаниями с душком — и эта информация не оспорена публично, уже достаточно, чтобы держаться подальше, просто на всякий случай.

2 Petr Отвечу вопросом на вопрос — почему Вы решили, что другие данные известны? Сейчас ситуация 50/50, данные ни опровергнуты одной стороной, ни подтверждены другой. Вся выданная некими хакерами информация пока имеет целью как раз организацию паники.

Я так не решил, и нигде этого не сказал, но допускаю такую возможность. Знаете, известно, что некоторые чиновники берут взятки, но никто из них этого не подтвердит. В редких случаях — суд. Поэтому довольствоваться подтвержденным сведениями удается редко. Приходится верить слову или полагаться на косвенные признаки. В данном случае Вы прямо заявили «нужны cvv коды, которых в файле нет», разве Вы знаете, что есть в украденных файлах и чего нет? Да, пионерам не удасться воспользоваться этим опубликованным списком. Полагаю, список предоставлен в качестве доказательства наличия данных. Но пока нет данных, что было ли что-то украдено или не было. Пока есть: 1. простой сервиса. 2. заявление о проблемах виртуализации. 3. заявление о профилактике. 4. невыполненные обещания «быстро» восстановить работу. Восстановили, но не быстро. Когда знаешь, что потерял — можно планировать сроки восстановления примерные, когда не знаешь -… 5. косвенные признаки потери данных (вандализм или халатность — покажет время) 6. косвенные признаки кражи данных. Кажется, доклад о процессах конкурса в ОАО сложно выдумать не зная фактов и специфики. 7. якобы атака или организация паники на сервис Если атака, то почему об этом не сказать сразу? Если удается махом потерять рабочие и резервные данные за год, почему может быть уверенность, что их никто не может украсть? Если собственная халатность, то причем здесь чья-та атака. В чем смысла бэкапа, если он находится внутри виртуализации? Если не находился, то бэкапа или не было, или он пострадал одновременно с рабочими сервисами — вот такое космическое невезение. В случае умышленной диверсии вполне логично ломать сервис и уничтожать бэкап одновременно.

спор ни о чем PCI DSS есть, это да но исполнять его можно хитро :) способы есть Были ли полные номера карт…и не только…вероятность не так уж мала, как кажется. Одно дело законы, другое — их исполнение :) Пока особых фактов нет, но усердство в затирании ссылок вместо адекватного ответа смущает…при этом напускается туман Из того, что видно — многое похоже на правду…именно похоже Увы, от некоторых писателей, я по ссылкам не увидел вообще ничего, везде файлы убиты

Не видел, что там апдэйты Теперь скачал файл….Там не совсем то же самое. Есть схемы, и они, имхо, реальные. Все остальное так себе

http://news2.ru/story/256725/ http://smi2.ru/chronoplay/c370632/ http://chronoplay.livejournal.com/849.html Ровно неделя прошла с момента опубликования заявления группы хакеров о взломе платежной системы «Chronopay», краже массива кредитных карт и личных данных миллионов россиян. Поскольку официальные лица компании продолжают делать вид, что ничего не произошло, группа вынуждена опубликовать новый массив данных, переданных неделю назад только журналистам и регуляторам рынка Visa и Mastercard. Так же взломщики подтвердили свою решимость передать официальным правоохранительным органам, а так же СБ ОФО «Аэрофлот», assist и Мультикарта доказательств прямого участия Павла Врублевского в атаке на платежные шлюзы конкурентов. Опубликованные данные: секретные ключи для связи с банками, Arcot-сертификаты, а так же скан кредитной карты самого Redeye. В настоящий момент готовится открытая публикация архива почты компании Хронопэй за первую половину 2010 года, так же полной базы данных украденных кредитных карт и личных данных. Данные по кредитным картам и транзакциям будут представлены в виде зашифрованной паролем базы данных на 10Гб. Пароль будет выслан по запросу ТОЛЬКО сотрудникам правоохранительных органов в рамках официального расследования, СБ Visa и Mastercard, а так же журналистам федеральных и крупных Интернет-СМИ, опубликовавших информацию о данном инциденте до момента публикации базы. http://openfile.ru/658212/

Опять какая-то фигня. Нашел в базе карточек русского, Дмитрий Пелипенков, звоню: отвечает девушка, тут таких нет и не было.

ЖЖ chronoplay засуспенжен, но есть в кэше яндекса http://blogs.yandex.ru/search.xml?text=&ft=blogcommentsmicro&server=livejournal.com&author=chronoplay&holdres=mark

8. В мае отрицалась связь с crutop.nu ( http://mynews-in.net/news/mobile/2010/05/19/1797944.html ), однако сейчас сомнений на этот счет ни у кого нет? Кто-то солгав раз, солжет еще.

Ну, вот , только хотелось посмотреть на факты, из везде засуспендили и потерли Дима, твою мать, эта Ваша гиперактивность наводит на плохие мысли больше чем сам это черный PR Очень хочется увидеть сканк карты Реда и серты :) Но в целом я уже для себя определил — взломали почтовики Хроно. А вот из них вытянули много всего остального Файлы с картами там могли попасть ненароком :)

На мой взгляд доказательств взлома уже более чем достаточно http://news2.ru/story/259803/ опубликованные данные — это явно не случайная утечка — там архивы почты за полгода http://clonopay.livejournal.com/