На днях я совершал онлайн покупку в одной российской интернет-компании. Очень скоро я дошел до того момента, когда меня перебросило на платежный шлюз крупного банка с формой для ввода данных с банковской карты. Это был единственный способ оплаты и я начал заполнять форму.
Ничто не предвещало беды, кроме шестого чувства. Перед нажатием кнопки «Оплатить» я решил проверить платежный шлюз на уязвимость. Воспользовавшись одним из сервисов для проверки был получен положительный ответ. Поняв, что продолжать покупку не стоит, мне стало интересно, что реально может угрожать пользователям, которые даже не подозревают, что совершают платеж через уязвимый шлюз и насколько легко в этом убедиться?
Убедиться в этом оказалось не просто, а очень просто. Взяв один из готовых эксплоитов на github и чуть модифицировав его код уже очень скоро у меня был дамп-файл из кусочков по 64 килобайта. Что же в нем было?
В нем было все. Буквально все, что проходит через платежный шлюз: номер заказа, номер карты, CVV2, ФИО, год и месяц до которого она действительна. За полчаса работы скрипта в дампе оказалось несколько сотен реальных банковских карт и данных об их владельцах.
Разумеется, вся необходимая информация была сразу же отправлена по контактам платежного шлюза и наиболее крупных его клиентов, но на данный момент уязвимость так и не устранена. Напоминаю, что прошла почти неделя с того момента, как публично стало известно о Heartbleed. Остается только удивляться беспечности службы безопасности некоторых крупных компаний и с ужасом представлять, сколько за это время могло утечь карт и другой критической персональной информации в руки реальных злоумышленников.
This entry passed through the Full-Text RSS service — if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.
Комментариев нет:
Отправить комментарий