Взлом ChronoPay - обзор ситуации

По версии CNewsодной из причин атак на Chronopay может быть передел на рынке онлайн-платежей: в июле атаке была подвергнута другая платежная система - «Ассист», вследствие чего она лишилась своего крупнейшего клиента - «Аэрофлот». Другая возможная причина – противостояние между Павлом Врублевским и его бывшим партнером Игорем Гусевым. В отношение последнего возбуждено уголовное дело в связи с нелегальной деятельностью Glavmed - партнерской сети по продаже фармпрепаратов в интернете. Сам Гусев говорил CNews, что за его преследованием стоит Врублевский.

На мой взгляд все действия хакеров (в т.ч. их публичность и провокационность) скорее говорят именно в пользу того, что вся эта акция направлена именно на то, чтобы испортить имидж ChronoPay, и "взломщикам" вряд ли удалось спереть всю базу, как они утверждают, НОесть все же 1 аспект, который нельзя списать - приватные SSL-ключи ! Бог с ним, с угоном домена, это действительно может быть проблема безопасности у регистратора, но ведь в результате угона удалось не просто создать поддельный сайт, а еще и поддельную платежную страницу с реальным SSL-сертификатом (!), в результате чего у 600-800 бедняг угнали номера их кредиток (на кешированной странице chronofail (см. выше) есть ссылки на архив с номерами кредиток, если вы нашли свою карту там или производили оплату через ChronoPay в период 26-27 декабря, то думаю вам стоит подумать о блокировке своей карты). А вот это уже проблемы как раз таки Chronopay. И тут может быть на мой взгляд 2 сценария:

1)взломщикам таки удалось взломать сервера Chronoapy и получить доступ к приватным ключам (но не доступ к логам транзакций, поэтому у них нет всей базы, а есть только часть перехваченных за пару дней кредиток)

2)у взломщиков был сообщник — инсайдер, который и слил им приватные ключи (и может быть много чего еще)

И тот и другой сценарий в любом случае свидетельствует о недостатках в обеспечении информационной безопасности, а ведь ChronoPay якобы прошел сертификацию по PCI DSS.

Почему «якобы» ? Дело в том, что VISA и Master Card регулярно публикуют списки сервис-провайдеров, подтвердивших свое соответствие PCI DSS. Список VISA за 18 декабря 2010 г. не содержит упоминания о ChronoPay. В списке Master Card за 29 ноября 2010 г. Chronopay есть, но дата подтверждения соответствия указана в 2009 г. (хотя QSA-аудит должен проводится каждый год), а в качестве QSA — малоизвестная немецкая контора Security Research & Consulting GmbH . Так что это еще вопрос, выполняет ли ChronoPay требования PCI DSS.

Чтож, посмотрим, расследование инцидента покажет что к чему. Вот только узнаем ли мы всю правду ….