[image]

Взлом базы MasterCard: вину валят на русских

 
+
-
edit
 

SAA-977

новичок
Источник: CNews: Взлом базы MasterCard: вину валят на русских

Взлом базы MasterCard: вину валят на русских

Обнародуются новые подробности взлома, потенциальными жертвами которого стали более 40 млн. владельцев кредитных карт MasterCard. Появляются также слухи о том, что к беспрецедентному по своему масштабу взлому приложили руку российские хакерские группировки, однако серьезных доказательств этому пока нет.

О «русском следе» в истории со взломом MasterCard сообщил вчера американский телеканал ABC News. По его информации, некоторые из 40 млн. взломанных номеров кредитных карт уже продаются на «российском веб-сайте» (каком именно, не называется), а некоторые владельцы карточек уже обнаружили на своих счетах утечку денег.

ABC приводит цитату Джона Уоттерса (John Watters) из компании iDefense, который утверждает, что на прошедших выходных в русскоязычных чатах было много разговоров, касающихся взлома MasterCard: сам факт расценивается там как «большая победа хороших парней», входящих в хакерские группировки. Тем не менее, никаких серьезных доказательств в пользу «русского следа» приведено не было: создается впечатление, что информация о «плохих русских» притянута за уши.

По оценкам г-на Уоттерса, номер обычной карты Mastercard стоит на черном рынке свыше $42, а номера «золотых» и «серебряных» карт с высоким кредитным лимитом обойдутся почти в $70. Однако теперь, когда о взломе MasterCard стало известно всем, цены на украденную информацию должны упасть, утверждают в iDefense.

Напомним, что, как сообщила официальный представитель компании MasterCard International, злоумышленникам удалось инсталлировать в сети компании CardSystems Solutions шпионскую программу, «перехватывавшую» данные о кредитных картах. Это стало возможным благодаря наличию «дыры» в системе безопасности.

Преступное ПО удалось обнаружить в ходе целенаправленного зондирования сети CardSystems, осуществленного после получения информации от нескольких банков о нехарактерных доселе случаях мошенничеств. Расследование осуществляла компания Cybertrust. Все следы вели к CardSystems.

В ходе расследования удалось установить, что компания CardSystems из г. Атланта (США), специализирующаяся в области обработки транзакций, не выполняла требования по безопасности, установленные MasterCard International. В частности, компания хранила записи, которые подлежали уничтожению, а также хранила информацию о транзакциях в незашифрованной форме. Более подробную информацию о ЧП MasterCard не приводит, ссылаясь при этом на ведущееся ФБР расследование инцидента, а CardSystems не отвечает ни на электронные письма, ни на телефонные звонки. Представители Cybertrust от комментариев также воздерживаются.

Тем временем в Сети не прекращается оживленное обсуждение того, уязвимость какого именно ПО стала причиной беспрецедентного по масштабам ЧП. Сайт обработки данных компании CardSystems работает на Microsoft Windows 2000 и IIS Server 5.0, так что предчувствия у сообщества пользователей возникли самые нехорошие.

В своем заявлении, сделанном в минувшую пятницу, 17 июня, руководство CardSystems объявило о том, что «потенциально угрожающий безопасности инцидент» был идентифицирован ею 22 мая (в воскресенье), и уже на следующий день об этом были поставлены в известность ФБР, а также компании Visa и MasterCard.

Как сообщает Silicon.com, ЧП поставило под угрозу безопасность данных о более чем 40 млн. кредитных карт — в том числе 22 млн. карт Visa и 13,9 млн. карт MasterCard. Пострадали также владельцы карт American Express и Discover. Как удалось выяснить в ходе следствия, данные о примерно 200 тыс. карт, в том числе 68 тыс. карт MasterCards, были переданы за пределы сети CardSystems. Преступники получили информацию об именах владельцев карт, номерах счетов и кодах подтверждения — этого достаточно для мошенничества. До сведений о номерах социального страхования, адресов, дат рождения, необходимых для мошенничеств, связанных с ложной идентификацией пользователей («подменой личности»), добраться им не удалось.

CardSystems — лишь одна из множества компаний, обеспечивающих проведение электронных платежей. Компания ежегодно осуществляла транзакции на сумму свыше $15 млрд. для более чем 105 тыс. малых и средних компаний. Все крупные операторы кредитных карт осуществляют комплексную защиту своих клиентов. Все мошеннические транзакции обычно отменяются, а сами владельцы акций могут в режиме реального времени отслеживать состояние счетов, что позволяет вовремя предупредить компанию-оператора или банк при первых признаках неладного.

Один из крупнейших операторов кредитных карт в США, компания MBNA, заявила, что получила от CardSystems информацию о потенциальной угрозе и пристально следит за скомпрометированными счетами. С владельцами «проблемных» карточек она не контактировала, сколько таковых — не сообщает. В случае мошенничества, заверяет компания, счет будет блокирован, а его владельцу выдана новая карточка. American Express еще не приняла решение, сообщать ли о возникшей проблеме своим клиентам — безопасность части из них оказалась под угрозой, однако скольких именно, компания не сообщает. В случае мошенничеств бремя возмещения расходов возьмет на себя American Express.

Самое удивительное в этой истории — то, что данная проблема возникает не впервые. Не далее двух недель тому назад компания CitiFinancial потеряла ленты с незашифрованной информацией о 3,9 млн. клиентов. До этого об утере данных сообщали Bank of America и Wachovia, информационные брокеры ChoicePoint и LexisNexis, а также такие «степенные» академические институты как Калифорнийский университет в Беркли и Стэндфордский университет. Согласно данным двух недавно проведенных исследований, проблема защиты данных и встает, и воспринимается все более остро. В минувшую среду Cyber Security Industry Alliance сообщил о том, что 97% опрошенных им американских избирателей считают проблему ложной идентификации требующей специального рассмотрения, а 64% полагают, что правительство принимает недостаточно мер для обеспечения компьютерной безопасности. Исследование, проведенное компаниями Adobe Systems и RSA Security, показало, что восемь из десяти профессионалов высшего разряда в Вашингтоне считают, что законодатели предпринимают недостаточно мер для защиты информации о пользователях.
   
RU Centuriones #23.06.2005 13:52  @SAA-977#23.06.2005 12:20
+
-
edit
 

Centuriones

опытный

SAA-977> В ходе расследования удалось установить, что компания CardSystems из г. Атланта (США), специализирующаяся в области обработки транзакций, не выполняла требования по безопасности, установленные MasterCard International. В частности, компания хранила записи, которые подлежали уничтожению, а также хранила информацию о транзакциях в незашифрованной форме. Более подробную информацию о ЧП MasterCard не приводит, ссылаясь при этом на ведущееся ФБР расследование инцидента, а CardSystems не отвечает ни на электронные письма, ни на телефонные звонки. Представители Cybertrust от комментариев также воздерживаются. [»]

Вот это - скорее всего ключ к решению "загадки". Видно в борьбе с "международным терроризмом" и слежкой за разными счетами фирме были сделаны предложения, от компетентных органов, от которых она не смогла отказаться :D , хотя, конечно, полностью ее собственную инициативу отметать с порога тоже нельзя.
А теперь все валят на хакеров. Без их "помощи", конечно, не обошлось, но если бы были выполнены все условия по безопасности, можно предполагать, что хрен им что обомилось бы.
Помнится, уже давно, был случай "взлома" хакерами из России и иных стран (преступное сообщество, международное!) одного из американских банков. Как выяснилось, впоследствии, система безопасности сервера этого банка среагировала на попытку немедленно. Неудачникам-взломщикам далее просто разрешили поиграться, чтобы была возможность сунуть их за решетку (что впоследствии и было сделано).

Надо пойти посмотреть: что пишут на хакер.ру. :)

   
LT Bredonosec #26.06.2005 06:39
+
-
edit
 
По СНН и береза-ТВ как одно из обьяснений, почему на российских ломастеров валят, говорилось, что "на русскоязычных чатах было большое оживление, данное деяние расценивалось как победа над силами зла. К сожалению, из-за нехватки специалистов, обладающих в должной мере русским языком, мы не смогли пока выйти на главных действующих лиц"(С)
   
RU Ведмедь #26.06.2005 06:46  @Bredonosec#26.06.2005 06:39
+
-
edit
 

Ведмедь

модератор
★★
Bredonosec, 26.06.2005 08:39:24:
"... К сожалению, из-за нехватки специалистов, обладающих в должной мере русским языком, мы не смогли пока выйти на главных действующих лиц"(С)
[»]
 


Однако. Пол-Союза уехало :) - и не хватает специалистов? Наверное, не хотят сотрудничать с силами зла :).
   
LT Bredonosec #26.06.2005 06:58
+
-
edit
 
мысли были. :)
Или же целенаправленный вброс дезы с целью повысить подозрительность в сторону плохо владеющих и ослабить в сторону свободно говорящих...

Как-никак, еще в 2002 году госдеп (или не помню какое ведомство) заявило, что в национальных интересах оставляет за собой право использовать любые СМИ для дезинформации... шум еще поднялся тогда..
жаль, тогда не сохранил странички (или сохранил, но потерлись - как-то искал, не нашел)
   
+
-
edit
 

Mishka

модератор
★★★
Количество бывших, работающих программерами в FBI — минимально. Причина проста — надо проходить проверку очень серъезную, а денег не очень чтобы много платят.

PS В прошедший четверг я 3 часа беседовал с FBI Special Agent (но не с Скали или Молдером :D ) — друг работает в конторе, которая выполняет правительственные заказы и получает что-то типа допуска, вот все его связи трясут — я был третьим в списке :)
   

au

   
★★
Mishka> PS В прошедший четверг я 3 часа беседовал с FBI Special Agent

А вы обязаны были это делать? Нельзя было его (ну, технически) послать в сторону моря? Три часа ухлопать на увлекательное общение с каким-то агентом на тему, к вам в общем-то и не относящуюся...
   
Это сообщение редактировалось 26.06.2005 в 11:08

Mishka

модератор
★★★
Mishka>> PS В прошедший четверг я 3 часа беседовал с FBI Special Agent
au> А вы обязаны были это делать? Нельзя было его (ну, технически) послать в сторону моря? Три часа ухлопать на увлекательное общение с каким-то агентом на тему, к вам в общем-то и не относящуюся... [»]

Нет, не обязан. Пока не вызовут официально. Что они могут сделать, в принципе. Даже тогда, вроде не обязан, но пойдет запись — но точно не знаю. :D Но создавать другу геммор не охота было. А так я ему объяснил, что американцы пить не умеют, что, если русские празднуют день рождения в ресторане, то это не час и не два, а скорее 4-6, и кушают, а не просто лакают водку, что нормальные люди напитки не мешают. А так же прочел лекцию про разницу в образовании. :D Он мне уже стал говорить, что это к делу не относится, что оффис закроется, а он не успеет отчет написать. А я ему говорю, что без этого он не поймет ни фига. Так что я ему голову поморочил не меньше, чем он мне. :P
   
LT Bredonosec #27.06.2005 17:04  @Mishka#27.06.2005 16:20
+
-
edit
 
Mishka>А я ему говорю, что без этого он не поймет ни фига. Так что я ему голову поморочил не меньше, чем он мне. :P [»]
- Красиво!
Таперича десяток раз подумают, надо ли цепляться "к этому свихнутому русскому" :rolleyes:
   

в начало страницы | новое
 
Поиск
Настройки
Твиттер сайта
Статистика
Рейтинг@Mail.ru