Žodis apie įsilaužimą į kreditines korteles

Jei mane pažįsti ar perskaitei ankstesnis įrašas , žinote, kad prieš pradėdamas dirbti „ApeeScape“ dirbau labai įdomioje įmonėje. Šioje įmonėje mūsų mokėjimo paslaugų teikėjas apdorojo operacijas maždaug 500 tūkst. USD per dieną. Mano darbo dalis buvo padaryti mūsų paslaugų teikėją Suderinamas su PCI-DSS Tai yra, atitinka Mokėjimo kortelių pramonės duomenų apsaugos standartą.

Galima sakyti, kad tai nebuvo silpnos širdies darbas. Šiuo metu esu gana intymus su kreditinėmis kortelėmis (CC), įsilaužimu į kreditines korteles ir interneto sauga apskritai . Galų gale mūsų užduotis buvo apsaugoti vartotojų duomenis, užkirsti kelią jų įsilaužimui, vagystei ar netinkamam naudojimui.

Galite įsivaizduoti mano nuostabą, kai pamačiau Bennetto Haseltono 2007 m. Straipsnį apie „Slashdot“: Kodėl vis dar taip lengva rasti CC numerius? . Trumpai tariant, „Haselton“ sugebėjo rasti „Google“ kreditinių kortelių numerius, pirmiausia ieškodamas kortelės pirmųjų aštuonių skaitmenų „nnnn nnnn“ formatu, o vėliau naudodamas keletą išplėstinių užklausų, pagrįstų skaičių diapazonais. Pvz., Jis galėjo naudoti „4060000000000000..406099999999999999“, kad surastų visus 16 skaitmenų Pirminiai sąskaitų numeriai (PAN) nuo CHASE (kurio visos kortelės prasideda 4060). Beje: čia yra visas sąrašas Emitento ID numeriai .

Tuo metu apie tai daug negalvojau, nes „Google“ iškart pradėjo filtruoti Bennetto naudojamų užklausų tipus. Kai bandėte „Google“ rinktis tokį diapazoną, „Google“ aptarnautų puslapį, kuriame buvo kažkas pasakyta panašiai kaip „Jūs blogas žmogus“.

Maždaug prieš pusmetį, prisiminus seną draugą, vėl kilo mintis dėl šios kreditinės kortelės numerio įsilaužimo. Netrukus atradau kažką nerimą keliančio. Nėra labai baisus, bet tikrai nerimą keliantis dalykas, todėl pranešiau „Google“ ir laukiau. Po mėnesio be atsakymo vėl pranešiau jiems nesėkmingai.

Nežymiai pakoregavęs seną Haseltono gudrybę, galėjau gauti „Google“ kreditinių kortelių numerius, socialinio draudimo numerius ir bet kokią kitą svarbią svarbią informaciją.

paypal kreditinės kortelės numerio nulaužimas

Aš pranešiau „Google“ ir laukiau. Po mėnesio be atsakymo vėl pranešiau jiems nesėkmingai. Nežymiai pakoregavęs seną Haseltono gudrybę, galėjau gauti „Google“ kreditinių kortelių numerius, socialinio draudimo numerius ir bet kokią kitą neskelbtiną informaciją.

Bennett

Vakar kai kurie mano draugai ( buhera.blog.hu ir _2501) atkreipė mano dėmesį į naujesnį „Slashdot“ įrašą: Kredito kortelių numeriai vis dar galimi „Google“ .

Straipsnio autorė, vėl Bennett Haselton, parašiusi originalų straipsnį dar 2007 m., Teigia, kad kreditinių kortelių numerius vis dar galima ieškoti „Google“. Negalite naudoti skaičių diapazono užklausos nulaužimo, bet vis tiek tai galima padaryti. Užuot naudoję paprastus diapazonus, savo užklausai turite pritaikyti konkretų formatą. Kažkas panašaus: „1234 5678“ (atkreipkite dėmesį į vidurį). Pagal šią užklausą pateikiama daugybė įvykių, tačiau tik nedaugelis jų domina. Tarp konkurso dalyvių yra telefono numeriai, pašto kodai ir pan. Ne itin jaudina. Bet čia yra kreditinės kortelės įsilaužimo posūkis.

Metodika

Man buvo įdomu, ar vis dar įmanoma internetu gauti kreditinių kortelių numerius taip, kaip galėjome 2007 m. Kaip ir bet kuris geras inžinierius, aš paprastai prižiūriu dalykus naudodamas tinkamai parengtą ir protingą planą, kurį reikia kuo puikiausiai ir tiksliai įgyvendinti. Jei išbandėte šį metodą, galite žinoti, kad jis gali sugesti tikrai sunkiai - tokiu atveju jūsų kruopštus planavimas ir pastangos eikvojami.

Į IT mes esame linkę per daug intelektualizuoti, net kai tai nėra visiškai pateisinama. Mačiau, kaip mano draugai ir kolegos visiškai laužė programas naudodamiesi iš pažiūros atsitiktiniais įvestimis. Jų sėkmės procentas buvo pribloškiantis, o įdėtos pastangos buvo beveik nulinės. Tada ir sužinojau, kad norint atidaryti duris, kartais reikia tiesiog pasibelsti.

„Hack“ kreditinės kortelės

Ankstesnė pastraipa buvo gudriai užmaskuotas bandymas priversti mane atrodyti mažiau idiotu, kai demonstruoju „elito įsilaužimo įgūdžius“. Oi.

Pirmiausia išbandžiau kelis diapazono užklausomis pagrįstus metodus. Tada pažiūrėjau į išplėstines užklausas ir beveik viską, ką sugalvosite maždaug per valandą. Nė vienas iš jų nedavė reikšmingų rezultatų.

Ir tada man kilo beprotiška idėja.

Kas būtų, jei filtravimo variklis ir tikroji galinė dalis neatitiktų? Ką daryti, jei pranešimas, kurį gavau iš „Google“ („Jūs esate blogas žmogus“) buvo gautas ne iš pačios sistemos, o iš paskirto filtravimo variklio, kurį „Google“ įdiegė cenzūruoti tokias užklausas kaip aš?

Architektūriniu požiūriu tai būtų labai prasminga. Tokios klaidos yra gana dažnos - jas nuolat matome ITSEC, ypač IDS / IPS sprendimus, bet ir bendroje programinėje įrangoje. Yra filtravimo procedūra, kuri apdoroja duomenis ir pateikia juos antrinei programinei įrangai tik tuo atveju, jei mano, kad duomenys yra priimtini / nėra kenkėjiški. Tačiau užpakalinė dalis ir filtravimo serveris beveik niekada neanalizuoja įvesties lygiai taip pat. Taigi, atrodytų, tinkama įvestis gali praeiti per filtrą ir sukelti sunaikinimą galinėje dalyje, veiksmingai aplenkdama filtrą.

Paprastai galite suaktyvinti tokio tipo elgesį pateikdami įvestį įvairiomis koduotėmis. Pvz., O kaip naudoti dešimtainius skaičius (0–9), kaip juos paversti šešioliktainiais, aštuoniaisiais ar dvejetainiais? Na, atspėk ką ...

Ieškokite to ir „Google“ jums pasakys, kad esate blogas žmogus: „4060000000000000..406099999999999999“

Ieškokite to ir „Google“ mielai įpareigos: „0xe6c8c69c9c000..0xe6d753e6ecfff“.

Vienintelis dalykas, kurį turite padaryti, yra konvertuoti kreditinės kortelės numerius iš dešimtainio į šešioliktainį. Viskas.

Rezultatai apima ...

• Smagūs CSV failai, užpildyti potencialiai neskelbtina informacija.

php konvertuoti utf8 į ascii

• Netinkami el. Prekybos žurnalo failai.

• Slapta informacija, kuria dalijamasi įsilaužėlių svetainėse (ir net „Facebook“).

Tai tikrai baisūs dalykai.

Žinau, kad ši klaida neįkvėps jokių saugumo tyrimų, bet jūs turite tai. „Google“ padarė šį „boo-boo“ ir nepaisė manęs net parašyti. Na, būna. Vis dėlto nepavydžiu saugumo žmonėms prie didžiojo G. Jie turi turėti daug daiktų, į kuriuos reikia atkreipti dėmesį. Skelbiu apie šį kreditinės kortelės numerio įsilaužimą čia, nes:

1. Tai palyginti nedidelis poveikis.
2. Visi, kurie domisi ir motyvuoja, tai jau suprato.
3. Cituojant Haseltoną, jei didieji žaidėjai neprisiima atsakomybės ir elgiasi pagal šiuos išnaudojimus, tada „teisingas dalykas yra apšviesti problemą ir reikalauti, kad jie kuo greičiau ją išspręstų“.

Ši gudrybė gali būti naudojama ieškant telefono numerių, SSN, TFN ir kt. Kaip rašė Bennettas, šiuos numerius pakeisti yra daug sunkiau nei jūsų kreditinę kortelę, dėl kurios galite tiesiog paskambinti į savo banką ir atšaukti kortelę.

Užklausų pavyzdžiai

ĮSPĖJIMAS: NEGALIMA „Google“ naudoti savo kredito kortelės numerio pilnai!

Ieškokite CC PAN, prasidedančio 4060: 4060000000000000..406099999999999999? 0xe6c8c69c9c000..0xe6d753e6ecfff

Keletas Vengrijos telefono numerių iš tiekėjo „Telenor“? Ne bėda: 36200000000..36209999999? 0x86db02a00..0x86e48c07f

Ieškokite SSN. Laimei, tai neduoda daug reikšmingų rezultatų: 100000000..999999999? 0x5f5e100..0x3b9ac9ff

Jų yra daug, daug daugiau.

Jei radote ką nors labai nerimą keliančio dalyko arba jums įdomu įsilaužti į kredito kortelę, palikite tai komentaruose arba susisiekite su manimi el. Paštu [apsaugotas el. paštu] arba „Twitter“ adresu @synsecblog . Kviesti policiją šiais atvejais paprastai yra beprasmiška, tačiau galbūt verta pabandyti. Nurodytas prekybininkas ar kortelių teikėjas dažniausiai nori spręsti šią problemą.

Kur eiti iš čia

Na, akivaizdu, kad „Google“ turi tai išspręsti, galbūt padedama tokių didelių žaidėjų kaip „Visa“ ir „Mastercard“. Tiesą sakant, „Haselton“ pateikia daug įdomių pasiūlymų dviejuose aukščiau susietuose straipsniuose.

Tačiau tai, ką jums reikia padaryti (ir kodėl aš parašiau šį įrašą), yra skleidžiamas. Kreditinių kortelių sukčiavimas yra didelė industrija, o paprastas supratimas gali išgelbėti jus nuo aukos. Be to, jei turite el. Prekybos svetainę arba tvarkote kreditines korteles, įsitikinkite, kad esate saugus . PCI-DSS yra gera gairė, tačiau ji toli gražu nėra tobula. Be to, visada yra gera idėja „Google“ svetainėje naudoti išplėstinę užklausą „site: mysite.com“, ieškant neskelbtinų skaičių. Yra labai, labai menka tikimybė, kad ką nors rasite, bet jei radote, turite nedelsdami tai veikti.

Be to, šiek tiek draugiško patarimo: turėtumėte niekada visiems duokite savo kreditinės kortelės informaciją. Mano patarimas būtų naudoti „PayPal“ ar panašią paslaugą, kai tik įmanoma. Norėdami sužinoti daugiau informacijos, galite patikrinti šias nuorodas:

• „Visa“ kredito kortelių saugos patarimai
• „Citi“ kreditinių kortelių saugumo patarimai

Ir keli bendri patarimai: neatsisiųskite dalykų, kurių neprašėte, neatidarykite šlamšto el. Laiškų ir atminkite, kad bankas niekada neprašys jūsų slaptažodžio.

Beje: jei manote, kad nėra pakankamai kvailo, kuris galėtų pasinaudoti šiomis kreditinių kortelių įsilaužimo technikomis ar atiduoti savo kreditinės kortelės informaciją internete, pasidomėkite @NeedADebitCard .

Būkite saugūs žmonės!

Suprasti pagrindus

Kas yra CCV kreditinėse kortelėse?

CCV reiškia kortelės patvirtinimo vertę. CCV numeris paprastai yra kredito ar debeto kortelės galinėje pusėje. CCV paprastai yra trijų skaitmenų skaičius, nors kai kuriose kortelėse, tokiose kaip „American Express“, naudojami keturženkliai CCV. CCV paprastai naudojamas patikrinti, ar internetiniai pirkėjai turi kortelę.

Ką reiškia PCI DSS?

PCI DSS reiškia mokėjimo kortelių pramonės duomenų saugumo standartą. PCI DSS užtikrina, kad visos šalys, susijusios su kreditinių kortelių duomenų tvarkymu, perdavimu ir saugojimu, veiktų saugioje aplinkoje.

Kas yra PCI atitiktis?

Paprasčiau tariant, PCI laikymasis reikalauja visų bendrovių, kurios priima atsiskaitymus kreditinėmis ir debetinėmis kortelėmis, kad užtikrintų pramonės standartų saugumą. PCI saugumo standartų taryba šiuo metu įpareigoja 12 PCI atitikties reikalavimų.