+7 (499) 502-80-23
Платежная система Хронопэй (Chronopay) скомпрометирована
27.12.2010
27 декабря 2010 года появилась информация о том, что платежная система Chronopay была взломана. Сначала об этом сообщил roem.ru, впоследствии появились публикации на lenta.ru и cnews.ru. Хронопэй опровергает информацию о краже данных, в то время как неизвестные злоумышленники приводят доказательства (запасная ссылка) в пользу того, что большое количество персональных данных (в т.ч. номеров и CVV-кодов кредитных карт) было украдено. Клиентам, которых мы поддерживаем и которые используют Хронопэй, мы еще днем порекомендовали отказаться от использования этой платежной системы до прояснения ситуации, тем более что сайт у них до сих пор не работает. Однако меня продолжают просить прояснить ситуацию и дать свои комментарии относительно ситуации с Chronopay. Я воздержусь от комментариев на политико-экономические темы, но вынужден дать комментарии с технической стороны вопроса. Первое: дефейс (подмена главной страницы сайта) имел место быть, это очевидно. В 18:00 27 декабря по московскому у многих пользователей по адресу http://www.chonopay.com все еще открывается подмененная страница (ссылка на слепок). На лицо хищение домена/DNS-записей. Не исключено, что ряд данных был похищен злоумышленниками у пользователей, не заметивших подмены/недостоверности домена. Второе: частные ключи настоящие. В качестве одного из доказательств взлома умышленники приводят не только выборку из (предположительно) похищенных карт, но и т.н. частные ключи для шифрования трафика по протоколу SSL/TSL. Частные ключи, как и следует из их названия, должны находится только у владельца сервиса. Хищение ключей компрометирует всю систему безопасности, построенную на открытых ключах, и дает возможность атак вида "man in the middle". Поэтому хищение частных ключей — серьезный аргумент в пользу того, что взлом был,... если, конечно, ключи настоящие. И они настоящие. Убедиться в этом можно следующим образом. Во-первых, необходимо проверить достоверность выданного сертификата. Например, для secure.chronopay.com он подписан одним из корневых сертификатов Verisign, поэтому сомневаться в его аутентичности не приходится: Во-вторых, надо убедится, что опубликованный частный ключ действительно отностится к сертификату (который, по сути, является контейнером для публичного ключа):
Код
# openssl rsa -noout -text -in secure.chronopay.com.key
# openssl x509 -noout -text -in secure.chronopay.com.crt
Согласно документации Apache по SSL/TSL modulus должны совпасть у обоих ключей, и они совпадают:
Код
00:c4:dd:77:4a:fa:05:e2:1b:34:16:44:47:c6:21:
f0:12:93:f8:54:ff:f0:1a:ec:b2:32:24:6b:d2:2a:
22:25:73:10:dd:60:e3:26:d4:07:fc:81:7c:42:d9:
23:4f:90:91:05:d4:70:db:ff:d1:f1:00:97:c9:a4:
a5:49:5c:19:a5:89:84:90:d9:f8:fb:36:c9:2e:fc:
79:da:8a:c4:d1:07:88:bf:68:63:50:98:2d:4d:57:
6a:c0:a3:ab:f9:00:b2:05:c8:d8:27:6c:b9:00:62:
bb:8e:ce:b4:72:d8:4a:76:6e:a7:b7:73:3b:9c:7b:
1e:ca:52:7e:56:48:86:b3:df:64:8a:43:fe:94:6c:
44:09:9d:62:e9:d1:56:fe:9b:01:a7:f7:5a:51:2f:
3b:81:b4:89:7b:d8:1e:17:89:16:18:56:11:8c:9e:
8f:28:4a:99:51:e0:1c:d9:e9:25:0d:2a:62:87:25:
2d:0d:f3:7e:86:00:ef:4b:26:4c:71:4d:3f:b0:05:
11:4e:03:8e:57:dc:73:fb:cb:00:47:dd:27:9f:ed:
66:88:ae:70:db:1e:fd:8d:d8:46:5f:0a:f3:fd:eb:
37:0a:7f:80:cb:b4:94:41:0f:1c:74:0d:e7:47:0a:
80:81:6e:81:7c:69:4a:b8:67:0e:3e:ba:b3:a9:1a:
3f:23
Чтобы не сверять шестнадцатеричный код можно сверить контрольные суммы от него, это быстрее:
Код
# openssl x509 -noout -modulus -in secure.chronopay.com.crt | openssl md5
6bd0591463b2a30fde104aca8745d959
# openssl rsa -noout -modulus -in secure.chronopay.com.key | openssl md5
6bd0591463b2a30fde104aca8745d959
Таким образом, есть все основания полагать, что ключи действительно были похищены. Это не является доказательством того, что были похищены персональные данные и номера кредитных карт. Это также не является доказательством того, что взлом был извне — возможна работа инсайдеров. Я сам неоднократно использовал Хронопэй, но считаю, что для паники пока повода нет, для волнений — есть. Если Вы пользовались услугами Хронопэй для отправки платежей, решайте сами, блокировать карту или нет. «Увод» домена и потеря ключей говорит не в пользу Chronopay. Все еще рекомендую избегать как отправки, так и приема платежей через эту платежную систему.

К списку новостей

Array
(
    [ID] => 25059
    [IBLOCK_ID] => 23
    [NAME] => Платежная система Хронопэй (Chronopay) скомпрометирована
    [IBLOCK_SECTION_ID] => 
    [IBLOCK] => Array
        (
            [ID] => 23
            [~ID] => 23
            [TIMESTAMP_X] => 13.10.2016 15:03:57
            [~TIMESTAMP_X] => 13.10.2016 15:03:57
            [IBLOCK_TYPE_ID] => itin
            [~IBLOCK_TYPE_ID] => itin
            [LID] => s1
            [~LID] => s1
            [CODE] => news
            [~CODE] => news
            [NAME] => Новости
            [~NAME] => Новости
            [ACTIVE] => Y
            [~ACTIVE] => Y
            [SORT] => 500
            [~SORT] => 500
            [LIST_PAGE_URL] => /blog/news/
            [~LIST_PAGE_URL] => /blog/news/
            [DETAIL_PAGE_URL] => #SITE_DIR#/blog/news/#ELEMENT_ID#/
            [~DETAIL_PAGE_URL] => #SITE_DIR#/blog/news/#ELEMENT_ID#/
            [SECTION_PAGE_URL] => #SITE_DIR#/blog/news/
            [~SECTION_PAGE_URL] => #SITE_DIR#/blog/news/
            [PICTURE] => 
            [~PICTURE] => 
            [DESCRIPTION] => 
            [~DESCRIPTION] => 
            [DESCRIPTION_TYPE] => text
            [~DESCRIPTION_TYPE] => text
            [RSS_TTL] => 24
            [~RSS_TTL] => 24
            [RSS_ACTIVE] => Y
            [~RSS_ACTIVE] => Y
            [RSS_FILE_ACTIVE] => N
            [~RSS_FILE_ACTIVE] => N
            [RSS_FILE_LIMIT] => 
            [~RSS_FILE_LIMIT] => 
            [RSS_FILE_DAYS] => 
            [~RSS_FILE_DAYS] => 
            [RSS_YANDEX_ACTIVE] => N
            [~RSS_YANDEX_ACTIVE] => N
            [XML_ID] => 26
            [~XML_ID] => 26
            [TMP_ID] => 
            [~TMP_ID] => 
            [INDEX_ELEMENT] => Y
            [~INDEX_ELEMENT] => Y
            [INDEX_SECTION] => Y
            [~INDEX_SECTION] => Y
            [WORKFLOW] => N
            [~WORKFLOW] => N
            [BIZPROC] => N
            [~BIZPROC] => N
            [SECTION_CHOOSER] => L
            [~SECTION_CHOOSER] => L
            [VERSION] => 1
            [~VERSION] => 1
            [LAST_CONV_ELEMENT] => 0
            [~LAST_CONV_ELEMENT] => 0
            [EDIT_FILE_BEFORE] => 
            [~EDIT_FILE_BEFORE] => 
            [EDIT_FILE_AFTER] => 
            [~EDIT_FILE_AFTER] => 
            [SECTIONS_NAME] => Разделы
            [~SECTIONS_NAME] => Разделы
            [SECTION_NAME] => Раздел
            [~SECTION_NAME] => Раздел
            [ELEMENTS_NAME] => Элементы
            [~ELEMENTS_NAME] => Элементы
            [ELEMENT_NAME] => Элемент
            [~ELEMENT_NAME] => Элемент
            [LIST_MODE] => 
            [~LIST_MODE] => 
            [SOCNET_GROUP_ID] => 
            [~SOCNET_GROUP_ID] => 
            [RIGHTS_MODE] => S
            [~RIGHTS_MODE] => S
            [SECTION_PROPERTY] => N
            [~SECTION_PROPERTY] => N
            [PROPERTY_INDEX] => 
            [~PROPERTY_INDEX] => 
            [CANONICAL_PAGE_URL] => 
            [~CANONICAL_PAGE_URL] => 
            [EXTERNAL_ID] => 26
            [~EXTERNAL_ID] => 26
            [LANG_DIR] => /
            [~LANG_DIR] => /
            [SERVER_NAME] => it-in.ru
            [~SERVER_NAME] => it-in.ru
        )

    [LIST_PAGE_URL] => /blog/news/
    [~LIST_PAGE_URL] => /blog/news/
    [SECTION_URL] => 
    [SECTION] => Array
        (
            [PATH] => Array
                (
                )

        )

    [IPROPERTY_VALUES] => Array
        (
        )

    [TIMESTAMP_X] => 20.11.2015 23:59:33
    [META_TAGS] => Array
        (
            [TITLE] => Платежная система Хронопэй (Chronopay) скомпрометирована
            [ELEMENT_CHAIN] => Платежная система Хронопэй (Chronopay) скомпрометирована
            [BROWSER_TITLE] => 
            [KEYWORDS] => 
            [DESCRIPTION] => 
        )

)