Реч о хаковању кредитних картица

Ако ме познајете или сте ме прочитали претходни пост , знате да сам радио у врло занимљивој компанији пре него што сам се придружио АпееСцапеу. У овој компанији је наш добављач плаћања обрађивао трансакције у околини од 500 хиљада америчких долара дневно. Део мог посла био је да пружим услуге Компатибилан са ПЦИ-ДСС —Односно, у складу са Индустријом платних картица - Стандардом заштите података.

Сигурно је рећи да ово није био посао за оне који слабе срце. У овом тренутку сам прилично присан са кредитним картицама (ЦЦ), хаковањем кредитних картица и веб сигурност уопште . Напокон, наш посао је био да заштитимо податке наших корисника, да их спречимо да буду хаковани, украдени или злоупотребљени.

Можете да замислите моје изненађење када сам видео чланак Беннетта Хаселтона из 2007. о Сласхдот-у: Зашто је ЦЦ бројеве и даље тако лако пронаћи? . Укратко, Хаселтон је могао да пронађе бројеве кредитних картица путем Гоогле-а, прво тако што је претражио првих осам цифара картице у формату „нннн нннн“, а касније користећи неке напредне упите изграђене на опсегу бројева. На пример, могао би да употреби „4060000000000000..4060999999999999“ да пронађе свих 16 цифара Бројеви примарних рачуна (ПАН) из ЦХАСЕ (чије карте све почињу са 4060). Узгред: ево комплетне листе Бројеви издаваоца .

У то време нисам пуно размишљао о томе, јер је Гоогле одмах почео да филтрира врсте упита које је Беннетт користио. Кад бисте покушали да Гоогле-ом дохватите такав опсег, Гоогле би приказао страницу на којој је писало нешто попут „Ти си лоша особа“.

Пре отприлике шест месеци, док се сећао са старим пријатељем, поново ми је пао на памет овај хак број кредитне картице. Убрзо сам открио нешто алармантно. Није ужасно алармантно, али сигурно алармантно - па сам обавестио Гоогле и сачекао. После месец дана без одговора, поново сам их обавестио безуспешно.

који програмски језик користе роботи

Уз мању промену старог трика Хаселтона, успео сам да пронађем бројеве Гоогле кредитних картица, бројеве социјалног осигурања и све друге осетљиве информације од интереса.

Зато сам обавестио Гоогле и сачекао. После месец дана без одговора, поново сам их обавестио безуспешно. Уз незнатно дотеривање старог трика Хаселтона, успео сам да пронађем бројеве Гоогле кредитних картица, бројеве социјалног осигурања и све друге осетљиве информације.

Беннетт

Јуче су неки моји пријатељи ( бухера.блог.ху и _2501) ми је скренуо пажњу на новији Сласхдот пост: Бројеви кредитних картица и даље могу да се користе путем Гоогле-а .

Аутор чланка, опет Беннетт Хаселтон, који је оригинални чланак написао још 2007. године, тврди да се бројеви кредитних картица и даље могу гуглати. Не можете да користите хаковање упита за опсег бројева, али то и даље може да се уради. Уместо да користите једноставне опсеге, морате да примените одређено форматирање на свој упит. Нешто попут: „1234 5678“ (запазите размак у средини). Много погодака се појављује за овај упит, али врло мали број њих стварно занима. Међу такмичарима су бројеви телефона, поштански бројеви и слично. Није крајње алармантно. Али ту долази до преокрета на кредитној картици.

Методологија

Био сам знатижељан да ли је још увек могуће добити бројеве кредитних картица путем Интернета онако како смо то могли 2007. Као сваки добар инжењер, обично приступам стварима користећи правилно конципиран и интелигентан план који треба савршено извршити са највећом прецизношћу. Ако сте испробали ту методу, можда знате да може заиста тешко успети - у том случају ваше пажљиво планирање и напор пропадају.

У ТО имамо тенденцију да претјерано интелектуализирамо, чак и када то није баш оправдано. Видео сам како моји пријатељи и колеге потпуно разбијају апликације користећи наизглед случајне улазе. Њихова стопа успеха била је запањујућа, а напор који су уложили у њу био је близу нуле. Тада сам то научио да бих отворио врата, понекад једноставно треба покуцати.

Кредитна картица

Претходни одломак био је вешто прикривен покушај да учиним да изгледам мање идиот кад показујем своје „елитне вештине хаковања“. Упс.

Прво сам покушао неколико приступа заснованих на опсегу. Затим сам погледао напредне упите и готово све што бисте могли смислити за сат времена или тако мало. Ниједан од њих није дао значајне резултате.

А онда сам имао луду идеју.

Шта ако постоји неусклађеност између мотора за филтрирање и стварне позадине? Шта ако порука коју сам добио од Гоогле-а („Ти си лоша особа“) није из самог позадинског окружења, већ из одређеног механизма за филтрирање који је Гоогле применио за цензурисање упита попут мог?

То би имало пуно смисла из архитектонске перспективе. А такве грешке су прилично честе - стално их видимо у ИТСЕЦ-у, посебно у ИДС / ИПС решења, али и у уобичајеном софтверу. Постоји поступак филтрирања који обрађује податке и даје их позадини само ако сматра да су подаци прихватљиви / не злонамерни. Међутим, бацк-енд и сервер за филтрирање готово никада не рашчлањују улаз на потпуно исти начин. Дакле, наизглед ваљан улаз може проћи кроз филтер и направити пустош на позадини, ефикасно заобилазећи филтер.

Обично можете покренути ову врсту понашања давањем својих података у различитим кодирањима. На пример: уместо да користите децималне бројеве (0-9), како би било да их претворите у хексадецималне или осминске или бинарне? Па, погодите шта ...

Потражите ово и Гоогле ће вам рећи да сте лоша особа: „4060000000000000..4060999999999999“

Потражите ово и Гоогле ће вас радо обавезати: „0ке6ц8ц69ц9ц000..0ке6д753е6ецффф“.

Једино што треба да урадите је да претворите бројеве кредитних картица из децималних у хексадецималне. То је то.

Резултати укључују ...

• Огромне ЦСВ датотеке испуњене потенцијално осетљивим информацијама.

користећи макрое у Гоогле табелама

• Неисправне датотеке дневника е-трговине.

• Осетљиве информације које се деле на хакерским сајтовима (па чак и на Фацебоок-у).

То је заиста застрашујућа ствар.

Знам да ова грешка неће инспирисати било какво безбедносно истраживање, али ту сте. Гоогле је направио овај боо-боо и занемарио ни да ми врати. Па, дешава се. Ипак, не завидим људима из обезбеђења на великом Г. Мора да имају пуно ствари на које требају пазити. Објављујем овде о овом хаковању броја кредитне картице јер:

1. То је релативно низак утицај.
2. Свако ко је заинтересован и мотивисан већ ће то схватити.
3. Да цитирамо Хаселтона, ако велики играчи не преузимају одговорност и не делују на овим подвизима, „исправно је учинити да осветлите проблем и инсистирате да га реше што је пре могуће“.

Овај трик се може користити за тражење телефонских бројева, ССН-ова, ТФН-ова и још много тога. И, као што је Беннетт написао, ове бројеве је много теже променити од ваше кредитне картице, за коју можете једноставно назвати своју банку и отказати је.

Примери упита

УПОЗОРЕЊЕ: НЕМОЈТЕ у потпуности гуглати свој број кредитне картице!

Потражите било који ЦЦ ПАН који почиње са 4060: 4060000000000000..4060999999999999? 0ке6ц8ц69ц9ц000..0ке6д753е6ецффф

Неки мађарски бројеви телефона од добављача „Теленор“? Нема проблема: 36200000000..36209999999? 0к86дб02а00..0к86е48ц07ф

Потражите ССН. Срећом, ово не даје много значајних резултата: 100000000..999999999? 0к5ф5е100..0к3б9ац9фф

Има их много, много више.

Ако вам се учини нешто врло алармантно или ако вас занима хаковање кредитне картице, оставите то у коментарима или ме контактирајте е-поштом на [емаил заштићен] или на Твиттер-у на @синсецблог . Позивање полиције је обично узалудно у овим случајевима, али можда би било вредно покушати. Дати трговац или добављач картице обично су више заинтересовани за решавање проблема.

Где ићи одавде

Па, Гоогле очигледно то мора да поправи, могуће уз помоћ великих играча попут Виса и Мастерцард. У ствари, Хаселтон даје низ занимљивих предлога у два чланака која су горе наведена.

Међутим, оно што треба да урадите (и зашто сам написао овај пост) је ширење вести. Превара са кредитним картицама велика је индустрија и једноставна свест вас може спасити од тога да постанете жртва. Даље, ако имате веб локацију за е-трговину или се бавите било којом обрадом кредитне картице, постарајте се да будете сигурни . ПЦИ-ДСС је добра смерница, али далеко од савршеног. Поред тога, увек је добра идеја да Гоогле веб локацију претражите напредним упитом „сите: мисите.цом“ тражећи осетљиве бројеве. Постоји врло, врло мала шанса да ћете било шта пронаћи, али ако то учините, морате то одмах предузети.

Такође, мало пријатељског савета: Требао би никад дајте информације о својој кредитној картици било коме. Мој савет би био да користите ПаиПал или сличну услугу кад год је то могуће. Додатне информације можете погледати на овим везама:

колико је велика козметичка индустрија

• Виса-ови савети за безбедност кредитне картице
• Цити-јеви савети о безбедности кредитне картице

И неколико општих савета: не преузимајте ствари које нисте тражили, не отварајте нежељену пошту и не заборавите да ваша банка никада неће тражити лозинку.

Успут: Ако мислите да нема никога толико глупог да наседа на ове технике хаковања кредитних картица или даје податке о њиховим кредитним картицама на Интернету, погледајте @НеедАДебитЦард .

Будите сигурни људи!

Разумевање основа

Шта је ЦЦВ на кредитним картицама?

ЦЦВ је скраћеница од Вредност верификације картице. ЦЦВ број се обично налази на полеђини кредитне или дебитне картице. ЦЦВ је обично троцифрени број, мада неке картице попут Америцан Екпресс-а користе четвороцифрене ЦЦВ. ЦЦВ се обично користи за верификацију да ли купци на мрежи поседују картицу.

Шта значи ПЦИ ДСС?

ПЦИ ДСС је скраћеница од Стандард заштите података индустрије платних картица. ПЦИ ДСС осигурава да све стране укључене у обраду, пренос и чување података о кредитним картицама раде у сигурном окружењу.

Шта је ПЦИ усклађеност?

Поједностављено, ПЦИ усклађеност захтева да све компаније које прихватају плаћања кредитним картицама и дебитним картицама осигурају индустријски стандард безбедности. Савет за ПЦИ безбедносне стандарде тренутно налаже 12 захтева за усклађеност са ПЦИ.