Comments 40
Может хоть теперь платежки вместо своего дурацкого PCI DSS и им подобными вещами наконец делом займутся. Хотя вряд ли. Все потери все равно на мерчанта перекладываются.
Напомнило сайт клиента, где на сервер им надо было PCI DSS из-за проверки банком. Однако так и не поставили SSL и при этом программой стояла django с дырой в коде…
Действительно удивляет подобная дырявость банковских карт by design. Почему все это давно не заменили на индивидуальные токены на пару покупатель-магазин, которые бы подписывались личным ключом держателя карты? А там можно было бы и ограничения прикрутить, типа этот токен удостоверяет что владелец карты А с счета А1 позволяет магазину Б проводить транзакции на счет Б1 с/без подтверждения смс кодом, с регулярностью раз в месяц/неделю/когда угодно на сумму не большую заранее указанной. И чтобы можно было в своем личном кабинете потом аннулировать любой токен. Тогда в принципе вопросов бы подобных не возникало, т.к. мой токен для оплаты какой либо подписки даже будучи украден не позволил бы сделать ничего. А авторизация по СМС или каким-либо приложением с галочкой типа «сегодня я делаю покупки в онлайне на сумму больше $50», не позволило бы сильно навредить даже если бы данные слили с какого-нибудь Amazon.
Я раз 20 перечитывал слово KAPTOXA, пока не залез в отчёт IntelCrawler, и не убедился, что слово написано латиницей и к картошке никакого отношения не имеет, даже несмотря на указание нашего соотечественника. Отлегло :)
Ой-йо. Он и, вправду, называется картофель. Видимо, я в припадке веселья облажался, так как только что о нём узнал. Но всё-равно это так забавно и круто! Серьёзные отчёты превращаются в троллинг!
После появления информации о компрометации Target, другая ритейлерная сеть Neiman Marcus также заявила о хищениях данных кредитных карт

Такое чувство, что вторая заявила за компанию. Не подскажете, они страховку не получают за взломы?
Стразовку получать могут, но стразовка покрывает фактический ущерб, а не сам факт взлома. То есть это имеет такую форму: по шее они получают точно и может быть страховка им шею немного полечит.
О, привет. Ну что, как дела? Потому что я — картофелина. Прекрасно. Мой генератор хлопков тоже тут. Раз мы так никуда и не идем… Вернее, вообще-то, мы двигаемся. И даже с пугающей быстротой. Но мы ничем сейчас не заняты, приведу парочку фактов. Он не обычный дурак. Он — продукт величайших умов целого поколения, старавшихся создать наиглупейшего дурака в мире. А ты поставила его управлять этим комплексом. Отлично, еще работает.
Кстати — в отчете скриншот страницы VK, там «Деятельность: Clever Fools». Да, это группа, но название удивительно подходит :)
При отдалении на 4-5 метров от монитора, эта KAPTOXA напоминает того самого мужчину с той самой картинки.
Если сравнивать с кредитками, то это как если бы владелец монет давал доступ к своему кошельку каждому магазину, в котором он делает покупку. Звучит абсурдно, правда? Но в случае с кредитками именно так и происходит.
Я говорил только о ситуации, описанной в статье. С биткоинами и другими валютами проблем тоже хватает. Просто они другие.
Во первых, ваши биткоины, вашими же и останутся. Они не сожмутся и не уменьшатся.
Во вторых, такие фейки только временно, при чем время не продолжительное, влияют на курс.
В третьих, там изменился курс биткоина по отношению к доллару.
И, вы правда думаете, что ничего в мире не способно обесценить ваши обычные деньги, лежащие у вас в кармане?
Хочу Вас огорчить, но есть процессинги (и интернет-магазины их использующие), которые не требуют указания CVC при проведении транзакции (более того они даже не переадресуют Вас на сайт вашего банка для введения доп. кода защиты при интернет-платежах), достаточно лишь номера карты, фио владельца с карты и срока её действия и все, можно совершить покупку, а все эти 3 сведения помимо того что выбиты на карте есть и на магнитной дорожке этой карты => что если украсть данные магнитной дорожки, то можно легко выпотрошить ваш банковский счет.
только я писал про генератор чисел от 0000 0000 0000 0000 до 9999 9999 9999 9999, а не про реальные данные, как было в той ситуации:)
зато если в интернете простым подбором выложат номера всех карт мира (без cvc кода причем), мои деньги вдруг резко не уменьшатся.


Каким подбором? Это был чистый фейк. Никто там ничего не подобрал. А если бы подобрал, то это означало бы дискредитацию всей основы современной криптографии, что имело бы гораздо более серьёзные последствия, чем кратковременное колебание курса биткоина по отношению к доллару на пару сотен баксов.

Причём от этого вброса, количество биткоинов на вашем кошельке «резко не уменьшится». А вот если сейчас вывалят в свободный доступ базу данных банка-эмитента вашей пластиковой карточки, вот это гарантированный способ реально уменьшить ваши деньги (и хочу заметить, что «ваши» деньги в банке на самом деле не ваши, ваши они только до тех пор, пока банк признаёт за вами это право. В любой момент банк объявляет, что замораживает ваш счёт, и с этого момента деньги больше не ваши. В биткоине же, ваши деньги признаются за вами всем множеством биткоин-пользователей).

Кстати, вас не смущает тот факт, что ваше золото за последние два года упало в цене с 1900$ до 1200$, т.е. более, чем на треть?
А если завтра пройдёт вброс, что найден способ получать золото из воздуха, думаете цена останется на том же уровне?
Я это к чему привожу пример. Я хочу сказать, что как бы золото не упало в цене, ваше обручальное кольцо не станет меньше, так же и с биткоином — падение курса по отношению к доллару не уменьшает кол-во биткоинов в вашем кошельке.

Призываю всех противников биткоина, и криптовалют в целом, для начала самообразоваться, разобраться в алгоритме работы, прежде чем городить нелепые доводы против. Катарсис я вам гарантирую.
В биткоине же, ваши деньги признаются за вами всем множеством биткоин-пользователей

Разве всем? Разве недостаточно чтобы половина активных пользователей решила, что деньги не мои и деньги превратятся в бессмысленный набор цифр?
Да, именно так — всем множеством пиров, хранящих у себя цепочку блоков.
Говоря о «половине активных пользователей», вы верно имеете ввиду атаку 51%?
Так вот, максимум что сможет сделать атакующий — это не принимать транзакции с вашего кошелька, или осуществить так называемую "двойную трату средств" со своих кошельков, но он никак не сможет, произвести перевод средств с вашего кошелька, т.к. у него нет вашего приватного ключа, и даже если он попытается включить в генерируемые им блоки транзакцию с вашего кошелька, она будет отброшена любым «полным» клиентом(например, bitcoin-qt), как невалидная.

Поэтому средства на вашем счёте будут храниться ровно столько, сколько существует криптовалютная сеть, пока работает хотя бы один узел.
Так вот, максимум что сможет сделать атакующий — это не принимать транзакции с вашего кошелька

Если сеть не будет принимать транзакции (посчитает, например, что деньги не поступали на кошелек и ты их нарисовал), то это означает, что денег нет. Ну физически они есть, но как было в СССР при обмене 50 и 100 рублевых купюр: не уложился в лимиты и/или сроки — и деньги стали простой бумагой.
Кхм. Не сочтите за грубость, но у меня возникло стойкое убеждение, что вы немного не в курсе, как работают криптопротоколы?
Рекомендую, начать знакомство, например, отсюда.
*Просьба. Если у вас другое мнение, пожалуйста, выражайте его в комментариях, а не в профиле.
С долларами и другими валютами этого тоже не произошло. Произошло с карточными счетами, а чём они номинированы, в долларах или биткоинах, без разницы.
Вы же понимаете, в чём принципиальная разница — в случае с криптовалютами не нужно третьей стороне передавать приватные данные своей карточки, достаточно любым способом вбросить в сеть подписанную транзакцию и платёж будет проведён, т.к. криптовалюта рассчитана на работу во «враждебной среде», где любой узел может быть потенциальным злоумышленником, а тут на тебе достаточно получить доступ к процессинг-центру и все карты твои, вот они издержки централизации.
В случае с нормальной валютой тоже не нужно передавать третьей стороне данные своей карточки — снял деньги со счёта непосредственно в банке и отправил продавцу любым способом.

И, имхо, если вы думаете, что в случае когда биткоин станет полноценной валютой, то не появится карточек и счетов номинированных в биткоинах (переводишь биткоины на кошелек банка, а он тебе взамен карточку), то сильно ошибаетесь.
В случае с нормальной валютой тоже не нужно передавать третьей стороне данные своей карточки — снял деньги со счёта непосредственно в банке и отправил продавцу любым способом.

В банке конечно же нет сетей и центральных БД, по которым гуляют ваши данные? А вы сразу бы уточнили каким способом отправил продавцу?

И, имхо, если вы думаете, что в случае когда биткоин станет полноценной валютой, то не появится карточек и счетов номинированных в биткоинах (переводишь биткоины на кошелек банка, а он тебе взамен карточку), то сильно ошибаетесь.

Безусловно, попытки налепить деривативов конечно же будут, куда без этого. Уже и теперь есть, например, bitplastic.
Но вопрос — зачем? Пластиковые карты, как и банкоматы — с приходом биткоина становятся пережитками прошлого, т.к. «зачем они нужны?» Если не нужно ничего обналичивать, а банкоматом уже становится ваш смартфон с установленным на нём кошельком и достаточно любого подключения к сети.
Не фиг подключать платежные терминалы к компам для проведения операций через свою дырявую систему. И не было бы утечки данных. Сам по себе терминал не является уязвимым, уязвим софт в компе который обрабатывает транзакцию, на него и был нацелен вирус, судя по всему.
Если бы терминалы были подключены через каналы GPRS или хотя бы по Ethernet и сами бы проводили транзакцию, то никакой кражи бы не было, но нет, это же не модно. Такая проблема касается все супермаркеты в которых обработкой транзакции занимается не терминал, а софт супермаркета и скоро она долетит и до нас.
realscorp, 20 января 2014 в 13:22
Сам себе отвечу. Информации немного, но кое-где пишут, что злоумышленники взломали один из веб-серверов Target-а и получили доступ во внутреннюю сеть. Затем они разослали трояна по терминалам и подняли промежуточный сервер на одной из машин. Троян внедрялся в процесс платежного софта и забирал номера карт, телефонов и адреса почты прямо из памяти процесса. Несколько раз в день собранную информацию троян складывал на временную сетевую папку промежеточного сервера. Через две недели, как пишут тут, промежуточный сервер несколькими порциями отправил 11Гб собранных данных на ftp-сервер, поднятый на VPS где-то в России. Больше информации вроде нет.
Да не в платежный терминал они внедрили вирус, не путайте теплое с мягким.
Вирус внедрили на сервер обработки платежей, на который терминалы отправляют данные платежных карт. Именно этот сервер и взломали. Сами терминалы в торговых точках никто не трогал. Ну посудите сами — зачем внедрять вирус в сотни и тысячи терминалов, если гораздо проще его внедрить в одну точку, которая обрабатывает все запросы с этих терминалов.
Кстати, не факт, что в ближайшем будущем не начнут атаковать именно терминалы. Там стек технологий сильно отстаёт от того, что можно ожидать на сервере.
там украли, тут пролюбили, здесь слили…
опять шум не в том месте. Проблема вовсе не в «украли», проблема в безакцептном списании средств. Пока кто угодно может списать средства со счёта зная лишь номер счёта, номера будут красть. Как только одостороннее списание будет запрещено, красть номера карт станет бесполезно.
(Например: при попытке списать с вашего счёта банк будет спрашивать владельца денег «тут такой-то хочет чтоб ему перевели столько-то. Сделать?» Т.о. обозначен получатель, сумма, время/место и явное разрешение списания от владельца. В этом случае номера хоть на стене пиши)
Как будет спрашивать? Не, понятно, что может быть, например, звонок от банка, но не всегда это реально. Скажем, хочешь пополнить телефон, находясь в международном роуминге для того, чтобы стало возможным принимать звонки. Или телефон/симку потерял/украли и покупаешь себе новые.
Only those users with full accounts are able to leave comments. Log in, please.