11:14
1/4/2012

Firma obsługująca płatności kartami kredytowymi, Global Payments, przyznała się do “odkrycia włamania do swoich wewnętrznych systemów” oraz “kradzieży danych związanych z kartami kredytowymi”. Jak doszło do włamania?

Kim są ofiary i ile ich jest?

Włamanie nastąpiło pomiędzy styczniem a lutym 2012 — ale nie wiemy tego od firmy Global Payments, a z …ostrzeżeń, jakie Visa i Mastercard porozsyłały do banków. Początkowo twierdzono, że łupem włamywaczy padło 50 000 numerów kart kredytowych, ale po weryfikacji odrzuconą połowę kart (duplikaty lub karty przeterminowane). [Aktualizacja: Global Payments w swoim oświadczeniu mówi o 1 500 000 poszkodowanych]

mcvisa

Brian Krebs, który jako pierwszy poinformował o tej sprawie, twierdzi że jego źródła wspominały nawet o 10 milionach skradzionych kart — jednak na razie fałszywe transakcje odnotowano jedynie na 876 kontach.

Cecha wspólna wielu ofiar? Płatność kartą za przejazd nowojorską taksówką…

Co dokładnie wykradziono i jak włamano się do Global Payments?

Dane jakie wykradziono to track1 i track2 — a więc wszystko, czego potrzeba wykonania klonu karty kredytowej, w tym: numer konta, nazwisko właściciela karty, datę ważności, PIN/CVV.

Akcje Global Payments po informacji o włamaniu spadły o 9%, co spowodowało wstrzymanie handlu (a firma miała niebawem przedstawić kwartalny raport finansowy…).

Jak atakującym udało się dostać do numerów kart kredytowych? Ponoć zgadli odpowiedzi na pytania, które chroniły dostępu do konta administratora systemu Global Payments.

PS: Przpomnijmy, że w czerwcu 2011 z Citibanku wykradziono 200 000 numerów kart kredytowych poprzez ..zwykła inkrementację identyfikatora w URL-u…

Przeczytaj także:

33 komentarzy

Dodaj komentarz
  1. Nie wiem czy to az taka mega kontrowersyjna informacja. W clearnecie mozna dostac dumpy, fulle itd w nieskonczonej ilosci. Karta srednio jest warta 2-5$ ,a co z niej mozna wycisnac zalezy od szczescia i sposobu ;)

    • A co to jest clearnet? :O

    • Ruski dają gwarancję w przypadku jak zakupiona karta jest zablokowana lub pusta :) wymiana na nową lub zwrot pieniędzy.

    • @frozen: nie pomyliłeś czasem pojęć clearnet/darknet?

    • @Mistiqe – nie pomylil
      z tymi zwrotami kart u ruskich to trzeba uwazac, zreszta wszystko zalezy jaka duza baze sie kupuje

  2. Kradzież numerów kart to jedno, ale jak zgarnęli dane, dzięki którym można sklonować dowolną kartę… to ta firemka ma DUŻY problem.

    No i ‘zgadli odpowiedź na pytanie zabezpieczające’ ? No litości…

  3. 1. KWIECIEŃ.

  4. Też mi się to rzuciło w oczy, nie sądzę aby to można było tak po prostu zgadnąć.

    • Tak wierdzi analityk Gartnera (a raczej jego źródła). Być może chodzi o reset f. resetu/przypomnienia hasła?

  5. Drogi niebezpieczniku,
    1) wkurzają mnie linku do tagów taksonometrycznych (banków kieruje do https://niebezpiecznik.pl/tag/banki/ a już myślałem, że jakiś fajny link)
    2) zgadli hasło, ok – ale pytanie czy hasło do tego konta pozwalało na dostęp z wewnątrz czy z zewnątrz.
    Oraz porcja linków
    — Informacja prasowa — http://phx.corporate-ir.net/phoenix.zhtml?c=125339&p=irol-newsArticle&ID=1678656&highlight=
    http://www.csoonline.com/article/703182/the-pci-effect-for-better-or-worse-following-fresh-breach-of-mastercard-visa – rozważania o zmianie PCI DSS ;)

  6. A o ilu włamaniach sami nie wiedzą?

  7. Boshe.Nie uzywac kart debetowych VISA!Jezeli juz musimy to zwykla karte MASTER CARD z chipem smartkarty ALE-skonfigurowana na podpis klienta nie autoryzacje kodem PIN! – to zawsze mozna przed bankiem z grafologiem zareklamowac!Odciac polaczenia w tej karcie od anten w.cz. PAY PASS.Wychodzac rano z domu przelac na rachunek karty tyle srodkow co mamy zamiar wydac w danym dniu (jezeli bank nie oferuje osobnego konta wewnetrznego dla karty (np. taka mozliwosc ma ING)) to wlaczyc limity dziennie/miesieczne.

    • no to troche to dziwne bo jakos bank ma w dupie grafologa jesli ktos sie pod Ciebie podszyje i podrobi Twoj podpis przy braniu kredytu, nawet wyrok sadu tutaj dla nicjh nic nie znaczy :)

    • No ok to byla taka symulacja.Ja wiem ze bank ma w gdzies inwywidualnego klienta wiec klient musi wykorzystac maksymalnie cala te technike zabezpieczen udostepniana przez bankowych.Typu PIN 0000 czy cale oszczednosci zycia postepne pod wspolnym account na karcie debetowej.Ludzie nie maja swiadomosci.

    • A przepraszam, jaki bank oferuje możliwość konfiguracji karty do podpisu lub PIN’u ?
      To zależy od rodzaju karty, natomiast klient ma w tej kwestii nic do gadania. Z resztą w przypadku zakupu (kradzieży) na taką kartę, bank w ramach ubezpieczenia zwraca stratę.

    • A nie prościej wsiąść gotówkę?

  8. Zazwyczaj ludzie niezdający sobie sprawy z niebezpieczeństwa przejęcia danych używają nieskomplikowanych zabezpieczeń tylko dlatego, że są zdolni je zapamiętać. Stąd wszystkie “qwerty” i “12345”, numery rejestracyjne samochodu albo imiona dzieci czy daty urodzin, ślubu jako hasła… i o zgrozo hasło takie samo jak login. Ludzie sami są sobie winni.

    • A data urodzin jako haslo zakodowana w formacie MJD (data julianska) jest dzis bezpieczna lub dlugie haslo do logowania kopiowane ze schowka? Nie wiem jezeli jakis robal w systemie zalozy “kajdany na clipboard” to ani klawiatura ani dlugie hasla nie sa bezpieczne.I jaka moge miec pewnosc ze algorytm polaczenia strony www poprzez SSL nie zostal gdzies wykradziony przez Chiczyka?

    • Algorytm SSL jest jawny…

  9. Prawda jest taka, że wykradzione dane kart kredytowych to nie problem, ponieważ możliwość bezpiecznego skorzystania ze środków posiadają tylko nieliczni. Oczywiście dla przeciętnego Kowalskiego ci “nieliczni” to będą straty w wysokości kilku milionów dolców rocznie, ale dla banków to jest jak pierdnąć. 10x więcej tracą każdego miesiąca na samych wtopach przy udzielaniu kredytów.

  10. kiedyś moj nr karty kredytowej wypłynął z płatności allegro. mBank mnie poinformował ze ktoś przechwycił nr karty, dali mi nową kartę. W mediach była cisza. Z tego co sprawdziłem w google – kilka osób w tym czasie miało ten sam problem. Od teraz płacę kartą kredytową przez tzw. mtransfer

    • > Od teraz płacę kartą kredytową przez tzw. mtransfer

      Aha. A ja płacę kartą kredytową przez tzw. portfel z gotówką :->

      (mTransfer to zwykły przelew, nie ma nic wspólnego z kartami kredytowymi)

    • Trol: nie troluj, tylko sprawdź jak działa mtransfer. Otóż do przelewu przy użyciu tej usługi można użyć środków z konta lub karty kredytowej i jest to traktowane jako transakcja bezgotówkowa.

  11. aaa, to dzis prima aprilis :D myslalem juz ze niebezpiecznik shackowali

  12. “Jak atakującym udało się dostać do numerów kart kredytowych? Ponoć zgadli odpowiedzi na pytania, które chroniły dostępu do konta administratora systemu Global Payments.”

    Tutaj już byłem prawie pewien Prima Aprilis. Trudno mi uwierzyć, że takie systemy mają możliwość kliknięcia “Przypomnij hasło”, jak pierwszy lepszy serwis internetowy. Bez chociażby dzwonienia do administratora, na samo nazwisko panieńskie matki?

  13. Włamałem się na niebezpiecznika! hahahah dobry żart ze strony admina :D

  14. zarty zartami, ale XSS na niebezpieczniku jest :D

    • Poka poca, ale nie na tego, który wymaga od użytkownika zaatakowania samego siebie :)

  15. Liczba poszkodowanych jak w pasku postępu w Windowsie. 876…10 000 000…50 000… 25 000… 1 500 000

  16. […] pytania, np. o nazwisko panieńskie matki). Przypomnijmy, że w podobny sposób, kilka dni temu Global Payment stracił ok. 1,5 miliona numerów kart kredytowych. Ktoś najprawdopodobniej zresetował hasło do konta administratora systemu tego pośrednika […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.