4k
9 лет назад · 1 фото · 1120 просмотров · 11 комментариев
В тысячах интернет-магазинов воруют данные карт. И магазины с этим ничего не хотят делать
Метки: #воровство #интернет
Нидерландский специалист по безопасности Виллем де Гроот обнаружил, что тысячи интернет-магазинов передают данные карт клиентов на другие серверы — расположенные преимущественно в России. Иными словами, де Гроот выявил масштабную кражу важной персональной информации, которая продолжается месяцами, и магазины об этом даже не подозревают.
1.
2.
Рассказываем об исследовании нидерландского специалиста — и о том, как его список скомпрометированных сайтов дважды удаляли.
Виллем де Гроот просканировал 255 тысяч онлайн-магазинов и выяснил, что на страницах почти шести тысяч из них установлены скрипты, которые без ведома владельцев пересылают данные карт клиентов третьим лицам. Среди пострадавших магазинов — производитель обуви Converse, дилер Audi в ЮАР, сайт певицы Бьорк и другие.
По сведениям исследователя, большинство серверов, куда направляется информация о картах, расположены в России. В интернете украденные карты потом продаются примерно по 30 долларов за штуку.
Как пишет де Гроот, в ноябре 2015 года он уже проводил подобное исследование; тогда нашлось около трех тысяч зараженных магазинов. Исследователь отмечает, что больше 700 магазинов были заражены тогда — и по-прежнему содержат вредоносный JavaScript-код. «Выходит, карты можно воровать месяцами», — заключает Виллем де Гроот.
Он сообщил представителям трех десятков магазинов об уязвимостях. Типичные ответы были такими:
— Нам все равно, все платежи проходят через сторонний сервис.
— Спасибо за ваше предположение, но наш магазин полностью безопасен. Это всего лишь ошибка в JavaScript.
— Наш магазин безопасен, поскольку мы используем HTTPS.
Виллем де Гроот опубликовал полный список скомпрометированных магазинов на GitHub — сервисе, которым пользуется большинство программистов. Однако вскоре список оттуда удалили, не объяснив это решение. Кроме того, представители нескольких магазинов связались с исследователем и пригрозили ему исками.
Тогда специалист по безопасности опубликовал список магазинов с вредоносным кодом на GitLab — альтернативном «Гитхабу» сервисе. Но и оттуда его почти сразу удалили, пояснив, что «публикация [списка] уязвимых систем» противоречит правилам сервиса.
Тем не менее, разобравшись в ситуации, GitLab вскоре вернул список и выступил с отдельным заявлением: «В этом случае жертвами уязвимости выступают не только владельцы магазинов, но и их клиенты. У владельцев есть ответственность перед клиентами. Размещение списка соответствует интересам пользователей, поскольку владельцы магазинов должны исправить ошибки».
Виллем де Гроот опубликовал первую версию списка 11 октября. В нем было 5925 магазинов. По данным на 17 октября, в списке осталось 5290 магазинов, то есть вредоносный код устранил только каждый 11-й магазин.
Виллем де Гроот просканировал 255 тысяч онлайн-магазинов и выяснил, что на страницах почти шести тысяч из них установлены скрипты, которые без ведома владельцев пересылают данные карт клиентов третьим лицам. Среди пострадавших магазинов — производитель обуви Converse, дилер Audi в ЮАР, сайт певицы Бьорк и другие.
По сведениям исследователя, большинство серверов, куда направляется информация о картах, расположены в России. В интернете украденные карты потом продаются примерно по 30 долларов за штуку.
Как пишет де Гроот, в ноябре 2015 года он уже проводил подобное исследование; тогда нашлось около трех тысяч зараженных магазинов. Исследователь отмечает, что больше 700 магазинов были заражены тогда — и по-прежнему содержат вредоносный JavaScript-код. «Выходит, карты можно воровать месяцами», — заключает Виллем де Гроот.
Он сообщил представителям трех десятков магазинов об уязвимостях. Типичные ответы были такими:
— Нам все равно, все платежи проходят через сторонний сервис.
— Спасибо за ваше предположение, но наш магазин полностью безопасен. Это всего лишь ошибка в JavaScript.
— Наш магазин безопасен, поскольку мы используем HTTPS.
Виллем де Гроот опубликовал полный список скомпрометированных магазинов на GitHub — сервисе, которым пользуется большинство программистов. Однако вскоре список оттуда удалили, не объяснив это решение. Кроме того, представители нескольких магазинов связались с исследователем и пригрозили ему исками.
Тогда специалист по безопасности опубликовал список магазинов с вредоносным кодом на GitLab — альтернативном «Гитхабу» сервисе. Но и оттуда его почти сразу удалили, пояснив, что «публикация [списка] уязвимых систем» противоречит правилам сервиса.
Тем не менее, разобравшись в ситуации, GitLab вскоре вернул список и выступил с отдельным заявлением: «В этом случае жертвами уязвимости выступают не только владельцы магазинов, но и их клиенты. У владельцев есть ответственность перед клиентами. Размещение списка соответствует интересам пользователей, поскольку владельцы магазинов должны исправить ошибки».
Виллем де Гроот опубликовал первую версию списка 11 октября. В нем было 5925 магазинов. По данным на 17 октября, в списке осталось 5290 магазинов, то есть вредоносный код устранил только каждый 11-й магазин.
Метки: #воровство #интернет
Вроде уже на большинстве карт есть функция запроса кода по смс, так что толку от знания номера карты, фамилии владельца и даты истечения с сvc кодом крайне мало. Я без смс подтверждения не могу и 1 рубля отправить
Опять "рука Кремля" и пресловутые "российские хакеры"?
На самом деле и при покупке в реале можно слить данные карты, если в магазине установлен зараженный терминал.
Поэтому в инете- только виртуальная карта или альтернативные платежные системы, а реале - карта с чипом.
Информационная безопасность - это как дороги в России. Можно сливать в это огромные бюджеты, раздувать щеки и применять инновационные решения, но никогда не достичь 100% результата. А в случае лажи - всегда отмазаться, что бюджет то, дескать, был не достаточно большим.
Никогда не плачУ с карты. Закинул на Киви нужную сумму, благо терминалов напихано на каждом углу и никаких процентов, оплатил, и не боишься, что кто то тебя обкрадёт.
тысячи госучреждений (и не только гос) болт кладут на сохранение и правила обработки личных данных, и чё?
что мешает платить с виртуальной карты, слабоумие?
Виртуальная карта - точно такая же карта, только без пластика. А делать новую для каждого платежа - заколебёт.
У меня один киви-кошелек для операций, другой для платежей, перекинуть - секунда. Зачем делать карту для каждого платежа?
в сбере вирт на год, но платно
в других банках на 1-3 месяца, бесплатно
хотите сохранить деньги - думайте головой
и что прям каждый день в инете что-то покупаете?
Это только если у тебя дебетовые карты, а не кредитные.