Сетевой бизнес Рунета давно не сотрясали подобные скандалы. В результате атаки на сайт платежного сервиса ChronoPay хакеры выложили в сеть персональные данные пользователей, оплативших покупки и услуги с помощью интернет-платежей. Первоначально анонимные хакеры сообщили о краже данных всех пользователей сервиса. Однакопотом оказалось, чтопредъявленная база включает лишь около тысячи полных номеров кредитных карт и cvv-кодов. О том, почему меры безопасности крупнейшего игрока на этом рынке не смогли защитить всех его клиентов, рассказывает основатель ChronoPay Павел Врублевский.
– Какие нарушения в работе сервиса имели место? – У нас увели домен и подделали главную страницу, где разместили объявление о краже персональных данных всех пользователей ChronoPay, оно провисело пару часов. Толком мы пока еще не разобрались, каким образом увели домен, но есть подозрение что это не внутренняя проблема компании, а внешняя – те, кто это сделал, возможно, воспользовались пробелами в работе регистратора. – Что с безопасностью платежей у сервиса ChronoPay? – За это время злоумышленники собрали данные карточек клиентов с платежных форм, которые перенаправлялись на их сайт и выложили их в сети. Это якобы должно было свидетельствовать о взломе базы данных ChronoPay, однако никакого взлома со своей стороны мы не заметили. Банкам говорим тоже самое, что и клиентам: у нас увели домен. – Если взлома не было, как тогда в списке клиентов ChronoPay, выложенном в сети, оказались пользователи, не проводившие сегодня операций? – Против основной версии о том, что украдены данные карт только за сегодня, в короткий промежуток времени, есть одно большое «но». Это редактор портала Roem.ru Юрий Синодов. Он объясняет, что не пользовался сервисом сегодня, но данные его карты есть в списке украденных. По замыслу хакеров, это должно свидетельствовать о краже данных всех клиентов сервиса, а не только тех, кто пользовался им сегодня. Разбираемся, пытаемся понять, что бы это значило. С одной стороны, сразу возникает подозрение, что не просто так он первым сегодня запустил эту новость в сети, получив сообщение о скомпрометированной карте. С другой стороны, его могли использовать «втемную» и специально добавить его карту в список похищенных данных. – Рынок считает, что нет дыма без огня, как вы можете обосновать вашу версию об отсутствии взлома вашей базы данных? – Произошедшая атака просто не могла быть взломом нашей базы, потому что выложенный список содержит cvv-коды. Их мы не храним вообще и не имеем на это права. Любой специалист в области forensic, который проверяет нас на безопасность, этих данных в ChronoPay не найдет, потому что их нет. Это не значит, что их вообще не могли увести, это возможно, но только в том случае, если имел место фишинг. То есть перехват самой платежной формы, что и произошло утром в течение ограниченного времени. Но взлома не было. – Как сейчас работает платежный сервис? – Система работает в штатном режиме, только регистратора сменили. Не исключено, что наш домен не единственный из пострадавших и имел место взлом регистратора. Кража домена могла также произойти в результате подделки договоров, такое тоже бывает. Возможно, была взломана почта, с которой приходил вопрос и ответ по домену. Это позволило киберпреступникам перевести домен chronopay.com на себя. У нас есть платежная страничка, с которой работает большинство клиентов, она была подделана. Дальше клиенты, которые ей воспользовались, переводились не на сайт chronopay, а на сайт злоумышленников. Мы заблокировали эту переадресацию, но они какое-то время еще перескакивали на разные хостинги, куда мы тоже звонили и блокировали их аккаунт. Пока что трудно комментировать ситуацию в онлайн-режиме, пока пытаемся составить полную картину, во вторник она должна появиться. Нет ясности с блоггером Синодовым, кроме того, мы нашли среди выложенных данных списки карт, которых у нас в базе нет вообще. Однако на основе данных, которые мы получили, прозванивая опубликованную базу, можно сказать что она практически вся составлена в результате увода данных с платежных форм в понедельник утром. – Связано ли произошедшее с личной атакой блоггера Игоря Гусева? – Я в это лично не очень верю. И даже если этот человек возьмет на себя ответственность, тоже буду сомневаться. Все сделано слишком хаотично и быстро, чтобы считать эту атаку своеобразным «подарком» ко дню моего рождения. Я склонен расценивать это как хулиганство, сделанное в расчете на то, что все будут думать: это тот самый парень, что делает сайт redeye-blog.com. Но я не спешу показывать пальцем на виновных, это может быть кто угодно на самом деле. Парень тот технически подкован и не делал бы такие глупости, как раскрытие cvv-кодов, например. – Игорь Гусев называет себя вашим бывшим партнером, это так? – За это утверждение ему надеюсь, придется ответить в суде, беда в том что он скрывается. Но мы рассматриваем возможность предъявления ему иска как физлицу за вранье. Он уже написал 24 поста, комментировать их все не хочется, собираюсь судиться. – Как может повлиять сегодняшний инцидент на рынок электронных платежей и доверие клиентов к данным сервисам и услугам вашей компании в частности? – Я думаю, что незначительно. Для того, чтобы на что-то повлиять, должен быть заметный ущерб чему-либо. А в данной ситуации идет огромное количество разговоров при том, что сами произошедшие события незначительны. Да, увели сайт у регистратора и за два часа украли данные 800 карт, но это не взлом, от этого не застрахован никто. Возможен ущерб у клиентов или процессинговой компании, но все зависит от длительности этого простоя. Если простой измеряется днями, то он не критичен ни для клиентов, ни для компании, потому что такое случается сплошь и рядом. Платежные сервисы падают на день–два достаточно часто и даже межународные платежные системы Visa и Mastercard, как мы недавно видели, бывает, на сутки да «ложатся». Вот если сервис лежит 2–3 недели, тогда это беда. Как правило, когда платежная форма не функционирует, очень маленький процент клиентов идет и платит другим способом, так как это им нужно. А большинство ничего не предпринимает и спокойно ждет, когда восстановится сервис. И если за три дня у компании оборот был ноль, то он компенсируется за следующие три дня работы. В июле, когда ChronoPay не работал, издержек не было. Серьезные претензии нам предъявляла только одна компания, мы их урегулировали. Крупный оператор решил переехать на процессинг другого банка, через месяц поняли, что ChronoPay лучше, и вернулись. Не думаю, что сегодняшний инцидент будет серьезный удар по нам или по клиентам. – Как вы оцениваете риск репутационного ущерба для ChronoPay? – Чисто репутационный ущерб возможен, но он зависит от того, что на самом деле произошло, и наших действий в дальнейшем. Мое ощущение – происходящее пока не очень серьезно.