На сайте "Хронопэя" опубликовано что-то феерическое:
"Мы с сожалением вынуждены сообщить, что в период 25-26 декабря 2010 года в нашей компании произошел взлом базы данных, приведший к полной утечке всех имеющихся персональных данных пользователей Хронопей за 2009-2010 годы, включая полные номера кредитных карт и cvv-кодов"
"В связи с произошедшим инцидентом руководством компании Хронопей принято решение временно прекратить работу на рынке приема платежей по пластиковым картам до прояснения ситуации"
Им действительно компанию сломали или просто сайт?
Добавить 61 комментарий
Если им сломали сайт, то очень хорошо сломали. При попытке оплатить что-то через шлюзы хронопея, выкидывает на эту страницу. Всем советую менять карты. С новым годом.
Насколько мне известно, за хранение CVV в базе по правилам платежных систем положена смерть через сну-сну. Так что сломан скорее всего сайт.
Ага, положена. Но это не говорит о том, что они не хранились в Хронопее. И если сломан только сайт, почему лежит и биллинг тоже.
Я пытаюсь дозвониться до Шмакова, Врублевского, похоже, очень старый номер. Дозвонюсь — отпишу.
Как бы узнать, платил ли я хоть раз через эту систему.
Позвонить в банк-эмитент карты ?
Судя по http://twitter.com/ni404/status/19313499071057920 взломали только сайт и ничего важного не утекло.
Да, взломан только домен. Также любому здравому человеку очевидно что коды не хранятся. Т.е. подобная информация абсурдна по дефолту.
У меня несколько карт, и я конечно же не помню какими из них я платил именно через ChronoPay, попробую поискать в архиве емайлов, обычно после оплаты приходит письмо от ChronoPay. И придется менять карты или деньги все снимать с тех, которыми платил. Что это за компания, у которой можно украсть БД за 2 года?! Они что, ее хранили в одном месте с паролем qwerty, что ли?! Минус в карму, я теперь сто раз подумаю, прежде чем через них платить, плохо только, что у них около 40% всех интернет-платежей по картам, как я слышал в Рунетологии.
Технически, как подсказывают мне авторы Roem.ru, был сделан дефейс: NS’ы сменены с ns01.chronopay.com/ns02.chronopay.com на ns01.anotherbreast.com/ns02.anotherbreast.com Хотя сами ns01.chronopay.com / ns02.chronopay.com отвечают, и выдают в качестве NS для chronopay.com сами себя. Похоже, точно дефейс.
В последнее время хронопей часто падал, сутками не работал. И из-за взлома вэб-сайта столько бы шума не было. Тут все серьезней скорее всего.
ничего не взломали, просто увели домен, посмотрите whois
я думаю компанию действительно взломали полностью, ибо позволить себе такое как увод домена с платежным шлюзом компания точно не могла
Если я правильно помню, у хронопея кроме просто платежей была и опция периодических платежей (по крайней мере что-то такое было в их документации на подключение), так что для них им бы пришлось хранить полные данные … Так что могли и хранить для всех …
отнимите у хронопея PCI DSS угон платежного шлюза это отсутствие мер безопасности вообще
за хранение CVV в базе по правилам платежных систем положена смерть через сну-сну Кстати, qiwi у меня перестал спрашивать CVV при оплате чего-то кредиткой. Вообще ничего не спрашивает, нужно только крыжик MasterCard поставить и жмякнуть «заплатить». Всё для удобства пользователя.
http://redeye-blog.com
Резусу привет В дампе обнаружился валидный номер моей карты. Тем не менее, к нему есть вопросы — http://rauf.livejournal.com/427599.html
payments.chronopay.com работает и что-то даже обрабатывает. какое счастье, что хронопей не работал с моей картой )
В синюсе все достаточно четко и пос уществу было описано Кредитки ворованные, но, судя по всему, за день-два, за счет того, что дефейс коснулся и платежки Видно, что карты преимущественно свежие, то есть типа фишинга в итоге Но в целом Хронопэю, несмотря на все попытки надуть щеки, этот факт в очередной большой минус.
Ассист, теперь хронопей. У меня вот складывается впечатление, что не особо щепетильные ребята затеяли передел рынка процессинга в рунете, выделив на это немаленький бюджет. Кто бы это мог быть?
@small_matter если бы не раздолбайство в чьих-то головах, то НИКАКОЙ бюджет не способен своровать приватные ключи сертификатов.
2vladon Безусловно, но все же такие, кого не потрешь. Хронопей же явно заказали, с размахом, и мне интересно — кто.
какая разница — заказали или нет. ваша позиция — это все равно что раньше убивали гонца, принесшего плохую весть. хронопэй — говно, нельзя ему доверять свои деньги, данные и прочее.
> какое счастье, что хронопей не работал с моей картой ) Разработчик Хронопэя, на которого дал ссылку Юра, — молодец. Судя по его сумбурному посту, карточку вообще никуда нельзя совать, а нужно хранить дома под подушкой. И уж тем более, не стоит ей пользоваться в интернете (уточню: в РУнете). Мне интересна «плавающая» позиция Хронопэя: 1. Взломали сайт, записали данные карточек, введённые после взлома. 2. Это вообще левая база, среди которых, конечно же, есть и наши карточки. При этом ход сделан верный: вряд ли есть пользователь, который использовал карточку ТОЛЬКО для оплаты через Хронопэй (если не в интернете, то, наверное, в банкомате он деньги снимал). Не удивлюсь, если этот ход будет использоваться и в дальнейшем при обнаружении утечек откуда-либо. Всё это, вкупе с прочитанным на http://redeye-blog.com/, действительно не добавляет доверия Хронопэю. Впрочем, я как не пользовался карточками в интернете, так и не буду — я консерватор, предпочитающий старую добрую электронную валюту. :)
Так вроде платежи по карте можно отменить, надо только мониторить интернет банк на левые операции, а лучше смс уведомления включить. А еще можно априори считать, что карта после любого платежа в сети скомпрометирована, тогда и проблем не будет (всегда есть вероятность, что магазин хранит номера и что его взломают). Я на карту, с которой в инете плачу, перевожу деньги с основной (которая в сети не светится) только сколько нужно и когда нужно, благо это можно сделать за 1 мин через интернет банк.
small_matter, кто заказал вполне очевидно. Ссылки есть даже в этом тредике. Если бы речь шла о переделе рынка, не устраивали весь этот балаган к дню рождения Редая.
День рождения, думаю, случайно совпал с рождеством там и НГ здесь. Время подходящее для гадостей.
Кто-нибудь мониторил сегодня? Нашлись ли за истекшие сутки ещё люди, кроме Юрия, чьи данные были скомпрометированы? Если отсортировать по алфавиту список и попробовать линейно поспрашивать гугл — «кто это»? Насколько у меня хватило терпения (фамилий на 60) — на каждую за очень редкими исключениями — находится соответствующий аккаунт в той или иной соцсети. Должен быть шум! Должны появляться недовольные люди. Интересно, кто они, что их могло бы объединять, кроме мифического взлома сайта?
Поиск по Роему нам дает 27 июля 2010 года Была ли утечка данных из ChronoPay? 05 июля 2010 года Почему не работает Хронопей? В этой связи очень примечательна первая новость — судя по всему это прямое её продолжение. Что точно делают такие вбросы — так это затрудняют работу службы поддержки у банков. Шквал звонков, писем, требований бесплатно перевыпустить карту, заблокировать карту.
«Поиск по Роему нам дает» Хронопей гораздо чаще не работал чем 2 раза за год. Я думаю, что потеря доменного имени это заслуга хозяина и высшего руководства прежде всего. Но даже после такой лажи Хронопей выживет так как на этом трудном рынке мало игроков, а хороших практически нет. У нас 4 платежки процессят кредитные карты, опыт научил не держать все яйца в одной корзине и даже в двух.
> Кто-нибудь мониторил сегодня? Нашлись ли за истекшие сутки ещё люди, кроме Юрия, чьи данные были скомпрометированы? Вчера видел пост «там есть карта моего хорошего знакомого». Впрочем, возможно, имелся ввиду Юрий.
Ни, это не про меня. У меня нет хороших знакомых.
Это Бобук был, очень вероятно, что Юрий.
ну я мониторила. Четырех нашла. Двое точно не виртуалы. Ссылок не сохраняла, конечно — все равно никому не докажешь, что не верблюд. Crio, вы говорите про твит Бобука. Он там ответил отрицательно на вопрос, не Синодов ли имелся в виду.
Просто получается если нет в реальности никаких 800 людей, то нет ни одного русского СМИ, что способно сказать — «всё было не так». Не в плане «не волнуйтесь», а в плане: «идёт игра, но играют не в то, что показали, а в подкидного». Друг Бакунова — it’шник? Кем показались те четверо?
Нет эквайера круче Грефа и Дефейс пророк его…
Просто получается если нет в реальности никаких 800 людей, то нет ни одного русского СМИ, что способно сказать — «всё было не так». Не в плане «не волнуйтесь», а в плане: «идёт игра, но играют не в то, что показали, а в подкидного». а интервью Врублевского на Слоне — это что тогда?
Нашлись ли за истекшие сутки ещё люди http://friendfeed.com/blacklion/7e91e07a/sinodov-2 в этом тредике аж двое, например
Ну люди по-разным причинам могут говорить “меня обокрали” и разными же словами легендировать кражу. Под “СМИ способны сказать” я имею в виду не объяснения самих пациентов, мол: “я жертва!” (такие тоже очень нужны, но дело не только в них) А позицию вида: “мы пересчитали колоду и карты у игроков не сходятся, у каждого оказалось по 3 туза” Один из таких лишних тузов — утром Юра не пользовался картой. Так что утром никакого особого события не случилось. Мы видели лишь эхо чего-то более раннего. *** http://friendfeed.com/blacklion/7e91e07a/sinodov-2 в этом тредике аж двое, например — что-то у меня ощущения, что находимые далее и далее люди — окажутся it-ишниками или около того. О чём это может нам сказать? Правильно.
О чём это может нам сказать? Правильно. о том, что айтишники чаще платят в интернете картой, чем домохозяйки из провинции, поэтому обнаружение семи айтишников среди восьмисот плательщиков — это нормально? или о чем-то еще?
Кроме самой частоты платежей — у них и траты могут быть иные, а значит и конфиденциальные данные утекают и сама крыса сидит в специфическом «айтишном магазине», а домохозяйка просто по паттерну своих трат посещает иные торгово-оплатные точки. На мой вкус — никакого «взлома базы» ибо не было.
Ларчик открывается просто: — В интернете по технологическим вопросам только у айтишников есть привычка искать и находить первоисточник, а не прессу читать. — Эти 800 записей не просто так были выбраны из корпуса номеров (происхождение которого пока неясно), а так, чтобы нашлись владельцы.
На данный момент число карт уменьшилось до 600 http://blog.chronopay.ru/?p=545 Интересно, кто вписал лишние. По какому принципу вычеркнул? До сих пор существует вероятность, что и те 600 — тоже никогда хронопеем и не обслуживались.
до 600 — это если убрать дубли (там много). тем не менее даже при всём отнекивании Хронопэя были украдены сертификаты и приватные ключи (!), валидные (!) и — что самое странное — до сих пор не отозванные (!). это ж каким нужно быть дебилом, чтобы после всего этого доверять данные таким раздолбаям?
Я думаю, что полного слива все-таки нет. И действительно базку набрали за день-два. То, что карты реальные — это уже факт. СБ банков уже блокируют целые пачки карт из списка. В одном из крупных банков их более 40-ка нашли, абсолютно реальных с указанными данными. Негласно идет указание на блокировку платежей от Хронопэя, в целом все движется к отказу от сотрудничества с ХП. По крайней мере, если с кем-то они вели переговоры, сейчас на них неумолимо падает большой жирный крест.
sinodov же говорит, что в последние дни не платил, значит базу набрали раньше, до увода домена, а значит это не фишинг, а внутри. а значит, там хранятся данные карт. пусть даже и в зашифрованном виде, но что такое хэш для слова из цифр, длину которого мы знаем? ненадёжно вообще. предрекаю банкротство ХП.
«предрекаю банкротство ХП» во-во
Ну эт ничего. В феврале (?) нашими друзьями (теми, что Мэтту Стоуну предпочитают Михаила Тверского) запускается так называемая “отечественная платёжная система”.
Тем временем: «Доказательства» взлома ChronoPay неубедительны — Group IB и Elcomsoft | Интернет | Digit. Интернет-журнал о технологиях. Глубоко о высоком. не складывается официальная версия.
выяснили, что в качестве «доказательства» взлома злоумышленники представили открытый сертификат, который можно свободно взять с сайта ChronoPay. Что касается ключей и паролей, то обладание ими еще не дает доступа к процессинговой системе» Далее статью можно не читать. Я и не стал.
Юрий, я не вижу [URL=http://sinodov.livejournal.com/631151.html]указанных вам данных[/URL] в файле (сс.txt размер 37448 байт) Вы можете это прокомментировать ?
@init: Ctrl+F «Sinodov» (534-я строчка): 4276380090448502 868 3 2012 Yury Sinodov
+1 к vladon А ваще, если подождать еще недельку, можно и сам файл не увидеть
сорри, нашел, промахнулся с поиском в notepad в первый раз но действительно странный формат для выгрузки из живой базы, больше на подставу похоже конечно
@init: подстава-неподстава, но: 1) приватные ключи украдены 2) сертификаты + приватные ключи валидны (проверяется на раз-два с помощью openssl) 3) сертификаты до сих пор (!) не отозваны из Verisign и GoDaddy Такое раздолбайство людей, проводящих ВАШИ деньги, говорит о многом. Об adult-бизнесе Рублевского и продаже подставных антивирусов и вообще говорить не надо.
Павел В. пострадал, но клиенты его — нет. По моим данным, один известный спамер, имя которого не разглашаю, и организовал это действо
«Павел В. пострадал, но клиенты его — нет. » Это понятно, что хронопей не является единственной платежкой его клиентов, но в любом случае много транзакций не прошло, а это убыток клиентов и к тому же когда пользователи моего сервиса видят объявление о том что его кредитки «скомпрометированны» он во всем обвиняет сервис не разбираясь, что сервис не виноват и никакого отношения к платежной системе не имеет. Так что клиенты тоже пострадали.
У Павла хватает недругов кроме Игоря… Я бы не был уверен что тот кто больше всех публично радуется, единственный вариант
ну я радуюсь, по-моему, больше всех.
Очень прикалывают комменты хронопея в стиле «Взлома не было, у нас ПРОСТО украли сайт». Привыкните к слову «просто». Это действительно несложно. Возьмите и привыкните. Просто начиная с момента заключения контракта с веб-студией их компьютеры будут просто ломаться, арт-директора просто болеть, а менеджер, который будет с вами общаться, будет просто опаздывать просто на сорок минут. Классика. http://www.c-tm.ru/10/ Как после этого нормальный человек может платить через них? Как ему проверять, куда идут данные?