Платежная система Хронопэй (Chronopay) скомпрометирована

// 27.12.2010
2 мин читать
683 просмотров

27 декабря 2010 года появилась информация о том, что платежная система Chronopay была взломана. Сначала об этом сообщил roem.ru, впоследствии появились публикации на lenta.ru и cnews.ru. Хронопэй опровергает информацию о краже данных, в то время как неизвестные злоумышленники приводят доказательства (запасная ссылка) в пользу того, что большое количество персональных данных (в т.ч. номеров и CVV-кодов кредитных карт) было украдено. Клиентам, которых мы поддерживаем и которые используют Хронопэй, мы еще днем порекомендовали отказаться от использования этой платежной системы до прояснения ситуации, тем более что сайт у них до сих пор не работает. Однако меня продолжают просить прояснить ситуацию и дать свои комментарии относительно ситуации с Chronopay. Я воздержусь от комментариев на политико-экономические темы, но вынужден дать комментарии с технической стороны вопроса. Первое: дефейс (подмена главной страницы сайта) имел место быть, это очевидно. В 18:00 27 декабря по московскому у многих пользователей по адресу https://www.chonopay.com все еще открывается подмененная страница (ссылка на слепок). На лицо хищение домена/DNS-записей. Не исключено, что ряд данных был похищен злоумышленниками у пользователей, не заметивших подмены/недостоверности домена. Второе: частные ключи настоящие. В качестве одного из доказательств взлома умышленники приводят не только выборку из (предположительно) похищенных карт, но и т.н. частные ключи для шифрования трафика по протоколу SSL/TSL. Частные ключи, как и следует из их названия, должны находится только у владельца сервиса. Хищение ключей компрометирует всю систему безопасности, построенную на открытых ключах, и дает возможность атак вида "man in the middle". Поэтому хищение частных ключей — серьезный аргумент в пользу того, что взлом был,... если, конечно, ключи настоящие. И они настоящие. Убедиться в этом можно следующим образом. Во-первых, необходимо проверить достоверность выданного сертификата. Например, для secure.chronopay.com он подписан одним из корневых сертификатов Verisign, поэтому сомневаться в его аутентичности не приходится: Во-вторых, надо убедится, что опубликованный частный ключ действительно отностится к сертификату (который, по сути, является контейнером для публичного ключа):

Код
# openssl rsa -noout -text -in secure.chronopay.com.key
# openssl x509 -noout -text -in secure.chronopay.com.crt
Согласно документации Apache по SSL/TSL modulus должны совпасть у обоих ключей, и они совпадают:
Код
00:c4:dd:77:4a:fa:05:e2:1b:34:16:44:47:c6:21:
f0:12:93:f8:54:ff:f0:1a:ec:b2:32:24:6b:d2:2a:
22:25:73:10:dd:60:e3:26:d4:07:fc:81:7c:42:d9:
23:4f:90:91:05:d4:70:db:ff:d1:f1:00:97:c9:a4:
a5:49:5c:19:a5:89:84:90:d9:f8:fb:36:c9:2e:fc:
79:da:8a:c4:d1:07:88:bf:68:63:50:98:2d:4d:57:
6a:c0:a3:ab:f9:00:b2:05:c8:d8:27:6c:b9:00:62:
bb:8e:ce:b4:72:d8:4a:76:6e:a7:b7:73:3b:9c:7b:
1e:ca:52:7e:56:48:86:b3:df:64:8a:43:fe:94:6c:
44:09:9d:62:e9:d1:56:fe:9b:01:a7:f7:5a:51:2f:
3b:81:b4:89:7b:d8:1e:17:89:16:18:56:11:8c:9e:
8f:28:4a:99:51:e0:1c:d9:e9:25:0d:2a:62:87:25:
2d:0d:f3:7e:86:00:ef:4b:26:4c:71:4d:3f:b0:05:
11:4e:03:8e:57:dc:73:fb:cb:00:47:dd:27:9f:ed:
66:88:ae:70:db:1e:fd:8d:d8:46:5f:0a:f3:fd:eb:
37:0a:7f:80:cb:b4:94:41:0f:1c:74:0d:e7:47:0a:
80:81:6e:81:7c:69:4a:b8:67:0e:3e:ba:b3:a9:1a:
3f:23
Чтобы не сверять шестнадцатеричный код можно сверить контрольные суммы от него, это быстрее:
Код
# openssl x509 -noout -modulus -in secure.chronopay.com.crt | openssl md5
6bd0591463b2a30fde104aca8745d959
# openssl rsa -noout -modulus -in secure.chronopay.com.key | openssl md5
6bd0591463b2a30fde104aca8745d959
Таким образом, есть все основания полагать, что ключи действительно были похищены. Это не является доказательством того, что были похищены персональные данные и номера кредитных карт. Это также не является доказательством того, что взлом был извне — возможна работа инсайдеров. Я сам неоднократно использовал Хронопэй, но считаю, что для паники пока повода нет, для волнений — есть. Если Вы пользовались услугами Хронопэй для отправки платежей, решайте сами, блокировать карту или нет. «Увод» домена и потеря ключей говорит не в пользу Chronopay. Все еще рекомендую избегать как отправки, так и приема платежей через эту платежную систему.