Перед новым годом появилась информация о взломе платежной системы Chronopay. Точнее, на сайте chronopay.com было опубликовано обращение от лица генерального директора ЗАО «Хронопей» Павла Врублевского, где сообщалось о взломе и полной утечке персональных данных всех пользователей, проводивших транзакции через платежную систему за последние два года, включая не только номера банковских карт, но и коды CVV2/CVC2, необходимые для авторизации платежей через интернет. Довольно быстро появилось официальное опровержение от Chronopay, в котором утверждалось, что имел место только дефейс сайта через перехват управления доменным именем, а никакого хищения данных не было. Но «взломщики» опубликовали фрагмент – около 800 номеров карточек, действительно, с кодами CVV, а еще – SSL-сертификаты сайтов chronopay.com с приватными ключами. В частности, «попался» владелец и главный редактор сайта roem.ru Юрий Синодов, который подтвердил подлинность этой информации. И вот тут начинается самое интересное. Картинка, как выяснилось, не очень «складывается» – ни с той, ни с другой стороны. Если взлома совсем не было, откуда сертификаты? Если был, то почему данные похожи не на дамп базы (я даже готов поверить, что при сертификации на PCI DSS, согласно правилам которой хранение номеров CVV ни в коем случае не допускается, аудиторы видели «не совсем ту» систему, которая реально эксплуатируется), а на фрагмент данных с веб-сайта – повторы, различное расположение пробелов, разное использование заглавных и строчных букв? Совсем не укладывается информация о карточке Синодова: если «дамп базы» – это информация о транзакциях, собранная с помощью «фальшивого» сайта за несколько часов, то как она туда попала, если Юрий утверждает, что последние дни карточкой не пользовался? Стоит предположить, что сертификаты были или получены с сайта в результате взлома, или, что еще более вероятно, похищены соучастником – инсайдером. Как и те данные, которые «утекли» в июне этого года: тогда тоже говорилось о взломе, о хранении, вопреки всем правилам, верификационных кодов в базе – но убедительные доказательства так и не были предоставлены. А самое главное – в блоге бывшего партнера Врублевского Игоря Гусева сейчас можно найти большое количество презанятного и недавнего «грязного белья» Chronopay, включая аудиозаписи разговоров. На мой взгляд, это информационная атака. Неплохо спланированная, но далеко не безупречная, можно даже сказать – при близком рассмотрении, шитая белыми нитками. Но что мы знаем о компании Chronopay? Дело в том, что по широко распространенной в интернет-кругах версии (сформированной и до разоблачений Игоря Гусева), создатель и и генеральный директор Chronopay Павел Врублевский – человек непростой. Направления его бизнеса, если верить источникам, сложно назвать респектабельными: спам, порнография, поддельные антивирусы, форекс-«кухни», медицинские препараты по почте, а точнее – поддержка технической и финансовой инфраструктуры для всего этого добра. Поймите меня правильно, я не ханжа. Я не имею ничего против порнографии, считаю патенты на медицинские препараты в сегодняшнем виде безусловным злом и так далее. Проблема в уровне энтропии в сети, которая отчетливо возрастает в результате подобной деятельности. Собственно, деятельность RedEye (считается, что это ник Павла Врублевского) и близких ему по духу деятелей привела к тому, что слово «вебмастер», когда-то в основном обозначавшее вполне респектабельную профессию, стало обозначать чаще всего (да простят меня те, кто используют это слово в его старом значении) такого же мутного персонажа, который занят каким-то «сливом трафика» через «партнерки». Печально, но это многомиллионный бизнес, который и не собирается сокращаться. А так как накладные расходы ничтожны по сравнению с суммой, которую платит «интернет-лох», хватает всем. Отсюда и все эти бесконечные партнерские сети, и «нагон клиентов» (вот, например, характерное интервью). Все это требует удобной системы взаиморасчетов – и одна из таких систем называлась Fethard. Да, вы будете смеяться, г-н RedEye уже имел солидную долю в некой платежной системе. Правда, не было у нее лоска респектабельности, сертификации PCI DSS, и кончилось для нее все довольно-таки плохо. В общем, казалось бы, какие разговоры о репутации? Однако нет, все это совершенно не помеха успешному бизнесу Chronopay. Павел не слишком активно отрицает, что он и RedEye – одно и то же лицо. Сказать это открытым текстом отказывается, – но всячески намекает, что ничем подобным никогда не занимался. Вот, например, аудиозапись интервью, примерно с восьмой минуты можно слушать подряд. А пользователей даже не спрашивают, нравится им доверять свою банковскую карту Врублевскому (или RedEye?) или нет – просто компания, оказывающая какую-либо услугу, например МТС, Skyexpress или Yota принимает платежи только через Chronopay, и все. Альтернативы не предусмотрено. Если бы Врублевский сомневался в таком исходе событий, он легко мог бы создавать Chronopay не от своего имени, а через подставное лицо. Что интересно, я не считаю, что мои данные в Chronopay подвергаются сильно большей опасности, чем в любой другой платежной системе. Но, тем не менее, при наличии выбора пользоваться ей не хотел бы. Считайте это моей личной прихотью. Однако к последней атаке на Chronopay мутная история Врублевского, на мой взгляд, не имеет особого отношения. Кому-то нужно «гасить» Chronopay именно сейчас, и не за его специфический бизнес. Сорока принесла мне на хвосте любопытные сплетни. Одни относятся к планам разработки национальной платежной системы, в которой Врублевский очень хочет поучаствовать. Другие касаются тендера на платежную систему для сайта gosuslugi.ru, который Chronopay то ли выиграл, то ли почти выиграл. Кажется, кто-то решил, что не по Сеньке шапка. P.S. Павел Врублевский так прокомментировал Slon.ru эту версию: «Давайте дождемся окончания нашего расследования, которое мы сейчас активно проводим и которое находится на стадии завершения. Мы близки к тому, чтобы определить исполнителя, а затем и заказчика атаки. Одна из трудностей заключается в том, что исполнитель, возможно, находится за рубежом, необходимы официальные запросы и т.д. Версий может быть очень много. Сами понимаете, в таких случаях показать пальцем можно на кого угодно, но мы хотим веских доказательств. Безусловно, мы заинтересованы в развитии Национальной платежной системы, и мы участвуем в разных тендерах, связанных с госуслугами. Но я не готов подтвердить ни одну из версий до того момента, пока у нас не будет правдоподобных данных».
