Хронопэй информацию о краже данных, в то время как неизвестные злоумышленники () в пользу того, что большое количество персональных данных (в т.ч. номеров и CVV-кодов кредитных карт) было украдено.
Клиентам, которых мы и которые используют Хронопэй, мы еще днем порекомендовали отказаться от использования этой платежной системы до прояснения ситуации, тем более что сайт у них до сих пор не работает. Однако меня продолжают просить прояснить ситуацию и дать свои комментарии относительно ситуации с Chronopay. Я воздержусь от комментариев на политико-экономические темы, но вынужден дать комментарии с технической стороны вопроса.
Первое: дефейс (подмена главной страницы сайта) имел место быть, это очевидно. В 18:00 27 декабря по московскому у многих пользователей по адресу все еще открывается подмененная страница (). На лицо хищение домена/DNS-записей. Не исключено, что ряд данных был похищен злоумышленниками у пользователей, не заметивших подмены/недостоверности домена.
Второе: частные ключи настоящие. В качестве одного из доказательств взлома умышленники не только выборку из (предположительно) похищенных карт, но и т.н. частные ключи для шифрования трафика по протоколу SSL/TSL. Частные ключи, как и следует из их названия, должны находится только у владельца сервиса. Хищение ключей компрометирует всю систему безопасности, построенную на , и дает возможность . Поэтому хищение частных ключей — серьезный аргумент в пользу того, что взлом был,... если, конечно, ключи настоящие.
И они настоящие. Убедиться в этом можно следующим образом. Во-первых, необходимо проверить достоверность выданного сертификата. Например, для secure.chronopay.com он подписан одним из корневых сертификатов Verisign, поэтому сомневаться в его аутентичности не приходится:
Во-вторых, надо убедится, что опубликованный частный ключ действительно отностится к сертификату (который, по сути, является контейнером для публичного ключа):
Код
# openssl rsa -noout -text -in secure.chronopay.com.key # openssl x509 -noout -text -in secure.chronopay.com.crt |
Согласно modulus должны совпасть у обоих ключей, и они совпадают:
Код
00:c4:dd:77:4a:fa:05:e2:1b:34:16:44:47:c6:21: f0:12:93:f8:54:ff:f0:1a:ec:b2:32:24:6b:d2:2a: 22:25:73:10:dd:60:e3:26:d4:07:fc:81:7c:42:d9: 23:4f:90:91:05:d4:70:db:ff:d1:f1:00:97:c9:a4: a5:49:5c:19:a5:89:84:90:d9:f8:fb:36:c9:2e:fc: 79:da:8a:c4:d1:07:88:bf:68:63:50:98:2d:4d:57: 6a:c0:a3:ab:f9:00:b2:05:c8:d8:27:6c:b9:00:62: bb:8e:ce:b4:72:d8:4a:76:6e:a7:b7:73:3b:9c:7b: 1e:ca:52:7e:56:48:86:b3:df:64:8a:43:fe:94:6c: 44:09:9d:62:e9:d1:56:fe:9b:01:a7:f7:5a:51:2f: 3b:81:b4:89:7b:d8:1e:17:89:16:18:56:11:8c:9e: 8f:28:4a:99:51:e0:1c:d9:e9:25:0d:2a:62:87:25: 2d:0d:f3:7e:86:00:ef:4b:26:4c:71:4d:3f:b0:05: 11:4e:03:8e:57:dc:73:fb:cb:00:47:dd:27:9f:ed: 66:88:ae:70:db:1e:fd:8d:d8:46:5f:0a:f3:fd:eb: 37:0a:7f:80:cb:b4:94:41:0f:1c:74:0d:e7:47:0a: 80:81:6e:81:7c:69:4a:b8:67:0e:3e:ba:b3:a9:1a: 3f:23 |
Чтобы не сверять шестнадцатеричный код можно сверить контрольные суммы от него, это быстрее:
Код
# openssl x509 -noout -modulus -in secure.chronopay.com.crt | openssl md5 6bd0591463b2a30fde104aca8745d959 # openssl rsa -noout -modulus -in secure.chronopay.com.key | openssl md5 6bd0591463b2a30fde104aca8745d959 |
Таким образом, есть все основания полагать, что ключи действительно были похищены. Это не является доказательством того, что были похищены персональные данные и номера кредитных карт. Это также не является доказательством того, что взлом был извне — возможна работа инсайдеров.
Я сам неоднократно использовал Хронопэй, но считаю, что для паники пока повода нет, для волнений — есть. Если Вы пользовались услугами Хронопэй для отправки платежей, решайте сами, блокировать карту или нет. «Увод» домена и потеря ключей говорит не в пользу Chronopay. Все еще рекомендую избегать как отправки, так и приема платежей через эту платежную систему.
Единственный новый сертификат который был предоставлен там, был сгенерирован старым ключем который ушел еще хрен знает когда без всяких взломов путем инсайда.
Остальные сертификаты выложеные там болтались по сети в пакете компромата уже год наверное.