Chronopay объявил о взломе своей базы данных и приостановил работу (дефейс сайта +)

На сайте «Хронопэя» опубликовано что-то феерическое:

«Мы с сожалением вынуждены сообщить, что в период 25−26 декабря 2010 года в нашей компании произошел взлом базы данных, приведший к полной утечке всех имеющихся персональных данных пользователей Хронопей за 2009−2010 годы, включая полные номера кредитных карт и cvv-кодов»

«В связи с произошедшим инцидентом руководством компании Хронопей принято решение временно прекратить работу на рынке приема платежей по пластиковым картам до прояснения ситуации»

Источник

Им действительно компанию сломали или просто сайт?

Добавить 61 комментарий

  • Ответить
    Альтер Эго

    Если им сломали сайт, то очень хорошо сломали. При попытке оплатить что-то через шлюзы хронопея, выкидывает на эту страницу. Всем советую менять карты. С новым годом.

  • Ответить

    Насколько мне известно, за хранение CVV в базе по правилам платежных систем положена смерть через сну-сну. Так что сломан скорее всего сайт.

  • Ответить
    Альтер Эго

    Ага, положена. Но это не говорит о том, что они не хранились в Хронопее. И если сломан только сайт, почему лежит и биллинг тоже.

  • Ответить
    Альтер Эго

    Да, взломан только домен. Также любому здравому человеку очевидно что коды не хранятся. Т.е. подобная информация абсурдна по дефолту.

  • Ответить

    У меня несколько карт, и я конечно же не помню какими из них я платил именно через ChronoPay, попробую поискать в архиве емайлов, обычно после оплаты приходит письмо от ChronoPay. И придется менять карты или деньги все снимать с тех, которыми платил. Что это за компания, у которой можно украсть БД за 2 года?! Они что, ее хранили в одном месте с паролем qwerty, что ли?! Минус в карму, я теперь сто раз подумаю, прежде чем через них платить, плохо только, что у них около 40% всех интернет-платежей по картам, как я слышал в Рунетологии.

  • Ответить
    Юрий Синодов Основатель Roem.ru, sinodov.com

    Технически, как подсказывают мне авторы Roem.ru, был сделан дефейс: NS’ы сменены с ns01.chronopay.com/ns02.chronopay.com на ns01.anotherbreast.com/ns02.anotherbreast.com Хотя сами ns01.chronopay.com / ns02.chronopay.com отвечают, и выдают в качестве NS для chronopay.com сами себя. Похоже, точно дефейс.

  • Ответить
    Альтер Эго

    В последнее время хронопей часто падал, сутками не работал. И из-за взлома вэб-сайта столько бы шума не было. Тут все серьезней скорее всего.

  • Ответить
    Альтер Эго

    я думаю компанию действительно взломали полностью, ибо позволить себе такое как увод домена с платежным шлюзом компания точно не могла

  • Ответить

    Если я правильно помню, у хронопея кроме просто платежей была и опция периодических платежей (по крайней мере что-то такое было в их документации на подключение), так что для них им бы пришлось хранить полные данные … Так что могли и хранить для всех …

  • Ответить

    за хранение CVV в базе по правилам платежных систем положена смерть через сну-сну Кстати, qiwi у меня перестал спрашивать CVV при оплате чего-то кредиткой. Вообще ничего не спрашивает, нужно только крыжик MasterCard поставить и жмякнуть «заплатить». Всё для удобства пользователя.

  • Ответить
    Альтер Эго

    В синюсе все достаточно четко и пос уществу было описано Кредитки ворованные, но, судя по всему, за день-два, за счет того, что дефейс коснулся и платежки Видно, что карты преимущественно свежие, то есть типа фишинга в итоге, Но в целом Хронопэю, несмотря на все попытки надуть щеки, этот факт в очередной большой минус.

  • Ответить
    small_matter Андрей Винокуров

    Ассист, теперь хронопей. У меня вот складывается впечатление, что не особо щепетильные ребята затеяли передел рынка процессинга в рунете, выделив на это немаленький бюджет. Кто бы это мог быть?

  • Ответить

    @small_matter если бы не раздолбайство в чьих-то головах, то НИКАКОЙ бюджет не способен своровать приватные ключи сертификатов.

  • Ответить

    какая разница — заказали или нет. ваша позиция — это все равно что раньше убивали гонца, принесшего плохую весть. хронопэй — говно, нельзя ему доверять свои деньги, данные и прочее.

  • Ответить

    > какое счастье, что хронопей не работал с моей картой) Разработчик Хронопэя, на которого дал ссылку Юра, — молодец. Судя по его сумбурному посту, карточку вообще никуда нельзя совать, а нужно хранить дома под подушкой. И уж тем более, не стоит ей пользоваться в интернете (уточню: в РУнете). Мне интересна «плавающая» позиция Хронопэя: 1. Взломали сайт, записали данные карточек, введённые после взлома. 2. Это вообще левая база, среди которых, конечно же, есть и наши карточки. При этом ход сделан верный: вряд ли есть пользователь, который использовал карточку ТОЛЬКО для оплаты через Хронопэй (если не в интернете, то, наверное, в банкомате он деньги снимал). Не удивлюсь, если этот ход будет использоваться и в дальнейшем при обнаружении утечек откуда-либо. Всё это, вкупе с прочитанным на http://redeye-blog.com/, действительно не добавляет доверия Хронопэю. Впрочем, я как не пользовался карточками в интернете, так и не буду — я консерватор, предпочитающий старую добрую электронную валюту. :)

  • Ответить
    jet

    Так вроде платежи по карте можно отменить, надо только мониторить интернет банк на левые операции, а лучше смс уведомления включить. А еще можно априори считать, что карта после любого платежа в сети скомпрометирована, тогда и проблем не будет (всегда есть вероятность, что магазин хранит номера и что его взломают). Я на карту, с которой в инете плачу, перевожу деньги с основной (которая в сети не светится) только сколько нужно и когда нужно, благо это можно сделать за 1 мин через интернет банк.

  • Ответить
    Альтер Эго

    small_matter, кто заказал вполне очевидно. Ссылки есть даже в этом тредике. Если бы речь шла о переделе рынка, не устраивали весь этот балаган к дню рождения Редая.

  • Ответить

    Кто-нибудь мониторил сегодня? Нашлись ли за истекшие сутки ещё люди, кроме Юрия, чьи данные были скомпрометированы? Если отсортировать по алфавиту список и попробовать линейно поспрашивать гугл — «кто это»? Насколько у меня хватило терпения (фамилий на 60) — на каждую за очень редкими исключениями — находится соответствующий аккаунт в той или иной соцсети. Должен быть шум! Должны появляться недовольные люди. Интересно, кто они, что их могло бы объединять, кроме мифического взлома сайта?

  • Ответить

    Поиск по Роему нам дает 27 июля 2010 года Была ли утечка данных из ChronoPay? 05 июля 2010 года Почему не работает Хронопей? В этой связи очень примечательна первая новость — судя по всему это прямое её продолжение. Что точно делают такие вбросы — так это затрудняют работу службы поддержки у банков. Шквал звонков, писем, требований бесплатно перевыпустить карту, заблокировать карту.

  • Ответить
    Альтер Эго

    «Поиск по Роему нам дает» Хронопей гораздо чаще не работал чем 2 раза за год. Я думаю, что потеря доменного имени это заслуга хозяина и высшего руководства прежде всего. Но даже после такой лажи Хронопей выживет так как на этом трудном рынке мало игроков, а хороших практически нет. У нас 4 платежки процессят кредитные карты, опыт научил не держать все яйца в одной корзине и даже в двух.

  • Ответить

    > Кто-нибудь мониторил сегодня? Нашлись ли за истекшие сутки ещё люди, кроме Юрия, чьи данные были скомпрометированы? Вчера видел пост «там есть карта моего хорошего знакомого». Впрочем, возможно, имелся ввиду Юрий.

  • Ответить
    Альтер Эго

    ну я мониторила. Четырех нашла. Двое точно не виртуалы. Ссылок не сохраняла, конечно — все равно никому не докажешь, что не верблюд. Crio, вы говорите про твит Бобука. Он там ответил отрицательно на вопрос, не Синодов ли имелся в виду.

  • Ответить

    Просто получается если нет в реальности никаких 800 людей, то нет ни одного русского СМИ, что способно сказать — «всё было не так». Не в плане «не волнуйтесь», а в плане: «идёт игра, но играют не в то, что показали, а в подкидного». Друг Бакунова — it’шник? Кем показались те четверо?

  • Ответить
    Альтер Эго

    Просто получается если нет в реальности никаких 800 людей, то нет ни одного русского СМИ, что способно сказать — «всё было не так». Не в плане «не волнуйтесь», а в плане: «идёт игра, но играют не в то, что показали, а в подкидного». а интервью Врублевского на Слоне — это что тогда?

  • Ответить

    Ну люди по-разным причинам могут говорить «меня обокрали» и разными же словами легендировать кражу. Под «СМИ способны сказать» я имею в виду не объяснения самих пациентов, мол: «я жертва!» (такие тоже очень нужны, но дело не только в них) А позицию вида: «мы пересчитали колоду и карты у игроков не сходятся, у каждого оказалось по 3 туза» Один из таких лишних тузов — утром Юра не пользовался картой. Так что утром никакого особого события не случилось. Мы видели лишь эхо чего-то более раннего. *** http://friendfeed.com/blacklion/7e91e07a/sinodov-2 в этом тредике аж двое, например — что-то у меня ощущения, что находимые далее и далее люди — окажутся it-ишниками или около того. О чём это может нам сказать? Правильно.

  • Ответить
    Альтер Эго

    О чём это может нам сказать? Правильно. о том, что айтишники чаще платят в интернете картой, чем домохозяйки из провинции, поэтому обнаружение семи айтишников среди восьмисот плательщиков — это нормально? или о чем-то еще?

  • Ответить

    Кроме самой частоты платежей — у них и траты могут быть иные, а значит и конфиденциальные данные утекают и сама крыса сидит в специфическом «айтишном магазине», а домохозяйка просто по паттерну своих трат посещает иные торгово-оплатные точки. На мой вкус — никакого «взлома базы» ибо не было.

  • Ответить
    ilyak организация, способная на многое

    Ларчик открывается просто: — В интернете по технологическим вопросам только у айтишников есть привычка искать и находить первоисточник, а не прессу читать. — Эти 800 записей не просто так были выбраны из корпуса номеров (происхождение которого пока неясно), а так, чтобы нашлись владельцы.

  • Ответить

    до 600 — это если убрать дубли (там много). тем не менее даже при всём отнекивании Хронопэя были украдены сертификаты и приватные ключи (!), валидные (!) и — что самое странное — до сих пор не отозванные (!). это ж каким нужно быть дебилом, чтобы после всего этого доверять данные таким раздолбаям?

  • Ответить
    Альтер Эго

    Я думаю, что полного слива все-таки нет. И действительно базку набрали за день-два. То, что карты реальные — это уже факт. СБ банков уже блокируют целые пачки карт из списка. В одном из крупных банков их более 40-ка нашли, абсолютно реальных с указанными данными. Негласно идет указание на блокировку платежей от Хронопэя, в целом все движется к отказу от сотрудничества с ХП. По крайней мере, если с кем-то они вели переговоры, сейчас на них неумолимо падает большой жирный крест.

  • Ответить

    sinodov же говорит, что в последние дни не платил, значит базу набрали раньше, до увода домена, а значит это не фишинг, а внутри. а значит, там хранятся данные карт. пусть даже и в зашифрованном виде, но что такое хэш для слова из цифр, длину которого мы знаем? ненадёжно вообще. предрекаю банкротство ХП.

  • Ответить

    Ну эт ничего. В феврале (?) нашими друзьями (теми, что Мэтту Стоуну предпочитают Михаила Тверского) запускается так называемая «отечественная платёжная система».

  • Ответить

    Тем временем: «Доказательства» взлома ChronoPay неубедительны — Group IB и Elcomsoft | Интернет | Digit. Интернет-журнал о технологиях. Глубоко о высоком. не складывается официальная версия.

  • Ответить
    ilyak организация, способная на многое

    выяснили, что в качестве «доказательства» взлома злоумышленники представили открытый сертификат, который можно свободно взять с сайта ChronoPay. Что касается ключей и паролей, то обладание ими еще не дает доступа к процессинговой системе" Далее статью можно не читать. Я и не стал.

  • Ответить

    Юрий, я не вижу [URL=http://sinodov.livejournal.com/631151.html]указанных вам данных[/URL] в файле (сс.txt размер 37448 байт) Вы можете это прокомментировать ?

  • Ответить

    сорри, нашел, промахнулся с поиском в notepad в первый раз, но действительно странный формат для выгрузки из живой базы, больше на подставу похоже конечно

  • Ответить

    @init: подстава-неподстава, но: 1) приватные ключи украдены 2) сертификаты + приватные ключи валидны (проверяется на раз-два с помощью openssl) 3) сертификаты до сих пор (!) не отозваны из Verisign и GoDaddy Такое раздолбайство людей, проводящих ВАШИ деньги, говорит о многом. Об adult-бизнесе Рублевского и продаже подставных антивирусов и вообще говорить не надо.

  • Ответить
    Альтер Эго

    «Павел В. пострадал, но клиенты его — нет. » Это понятно, что хронопей не является единственной платежкой его клиентов, но в любом случае много транзакций не прошло, а это убыток клиентов и к тому же когда пользователи моего сервиса видят объявление о том что его кредитки «скомпрометированны» он во всем обвиняет сервис не разбираясь, что сервис не виноват и никакого отношения к платежной системе не имеет. Так что клиенты тоже пострадали.

  • Ответить
    Альтер Эго

    У Павла хватает недругов кроме Игоря… Я бы не был уверен что тот кто больше всех публично радуется, единственный вариант

  • Ответить
    Альтер Эго

    Очень прикалывают комменты хронопея в стиле «Взлома не было, у нас ПРОСТО украли сайт». Привыкните к слову «просто». Это действительно несложно. Возьмите и привыкните. Просто начиная с момента заключения контракта с веб-студией их компьютеры будут просто ломаться, арт-директора просто болеть, а менеджер, который будет с вами общаться, будет просто опаздывать просто на сорок минут. Классика. http://www.c-tm.ru/10/ Как после этого нормальный человек может платить через них? Как ему проверять, куда идут данные?