О взломе Chronopay вчера не написал только ленивый (ну, например, я не написал, да, хотя «Вебпланета» и отписалась). Вопрос в том, насколько серьёзным был этот взлом. Ребята, которые стоят за этим взломом, всячески привлекают к этому внимание, из чего следует, что они заинтересованы не в том, чтобы украсть денег с пользовательских карт, а в том, чтобы нанести максимальный ущерб репутации компании.
Зачем это нужно — вопрос отдельный. Варианта два: либо это стараются конкуренты, либо кто-то имеет зуб на Chronopay. Учитывая, что владельцем компании является Павел Врублевский, вторая версия наиболее вероятна. У этого человека просто масса врагов (подробности можно узнать из блога его бывшего партнёра Игоря Гусева).
Как по мне, того, что известно о Врублевском, примерно на порядок больше, чем требуется, для того чтобы никогда не иметь дел с «Хронопеем». Но, очевидно, до широких масс эта информация не особо доходит в силу ряда причин, поэтому мы и имеем очередной, вроде бы уже третий «взлом Chronopay» с попыткой поднять шумиху вокруг этого дела.
Но я постараюсь сохранить объективность. А она такова, что у взломщиков, скорее всего, нет и не было доступа к базе с платежами, что бы они об этом ни говорили.
Вкратце: они выложили в Сеть архив с (а) SSL-сертификатами «Хронопея» и (б) списком из нескольких сотен пластиковых карт (номера, CVV-коды, даты окончания действия, имена кардхолдеров). SSL-сертификаты — это очень серьёзно, на самом деле. Судя по всему, они действительно валидны, но я этот вопрос пока не изучал как следует. Как я понял, Врублевский пока старается избегать комментариев по этому поводу.
А вот со списком карт не всё чисто. Хакеры утверждают, что этот список — просто часть имеющейся в их распоряжении огромной базы с платежами пользователей, которые обрабатывались «Хронопеем» в 2009—2010 годах. Однако есть ряд соображений, говорящих против данного утверждения.
1. Такой список можно было получить разными путями. Наиболее простой — через фишинговую веб-форму, после того как был угнан домен chronpay.com. Сам Врублевский в конце концов признал, что взломщики такую форму использовали. (Разумеется, это лишь косвенное подтверждение, поскольку Врублевский заинтересован в том, чтобы выбрать наименьшее зло.)
2. В списке присутствуют CVV-коды, которые Chronopay как процессинговый оператор не имеет права хранить. Может, но не имеет права. Учитывая, что недавно компания в очередной раз получила соответствующий сертификат, сомнительно, что они в самом деле хранят эти данные. Хотя в веб-форму они, конечно, вносятся.
3. В выложенном списке нет ни одной карты, срок действия которой истекал бы ранее 2011 года. Это говорит о том, что мы имеем дело с достаточно свежими данными (декабрь 2010 года — правдоподобно, январь 2009 года — сомнительно).
4. В выложенном списке встречается по несколько одинаковых записей подряд, а значения некоторых полей с годом окончания действия карт равны нулю. Это свидетельствует в пользу того, что речь идёт о сырых данных, собранных через веб-форму (пользователи ошибаются при вводе), а не о данных из реальной базы транзакций.
5. Наконец, хакеры никоим образом никому не хотят подтверждать, что у них имеются действительные транзакции. Я лично дважды к ним обращался (на «Вебпланете» и в их ЖЖ-дневнике) с предложением связаться со мной как представителем СМИ по email и даже в общих чертах описал схему, по которой мы могли бы удостоверить наличие у них такой базы. В конце концов я получил ответ, суть которого передаётся просто: мы ничего не собираемся доказывать, мы уже добились своего. Подобные ответы они дают и на предложения других людей.
Интересно, что в списке присутствует карта Юрия Синодова с достаточно известного ресурса roem.ru. Думаю, что это не случайно, а как раз с целью добиться большей шумихи. Думаю также, что Синодова просто использовали, раздобыв данные о его карте каким-то другим способом (а не сговорившись с ним — т.е. теоретически такой вариант возможен, но, мне кажется, маловероятен).
Вывод? Данные о платежах пользователей через Chronopay за 2009—2010 год не утекли — если не считать платежей в районе 26 декабря, когда был угнан домен с SSL-сертификатами и организована фишинговая форма.
Надо ли куда-то бежать и что-то делать? Я бы, конечно, подстраховался — если бы пользовался «Хронопеем» явно или косвенно. Но я бы им вообще не пользовался. Не из-за надёжности или ненадёжности системы, а просто потому, что не всем людям стоит доверять свои деньги. Тут ситуация чем-то схожа с суетой вокруг WebMoney.
