Безопасность по стандарту PCI DSS не спасла от крупной утечки

23 марта гигант карточной системы платежей – компания Visa – нанесла публичный удар компании Хартленд, ведущей системе дебетовых и кредитных платежей США, удалив её из своего списка организаций, предоставляющих услуги электронных платежей, которые соблюдают стандарт безопасности индустрии платежных карт – PCI DSS. Организации, предоставляющие услуги электронных платежей, соответствующие правилам данного стандарта, обязаны обеспечить защиту конфиденциальной информации держателей банковских карт, а также бороться с воровством персональных данных и мошенничеством.


Компания Visa подвергла сомнению соответствие системы защиты платежей Хартленд стандарту PCI DSS после того, как система была взломана в конце 2008 года, заявив, что ни одна коммерческая организация, соблюдающая стандарты платежных систем, до сих пор не была скомпрометирована. 


20 января 2009 года Visa и MasterCard сообщили общественности об обнаружении подозрительной активности вокруг транзакций по банковским картам. Компания Хартленд пояснила, что в конце 2008 года в их системе был обнаружен вирус. Скомпрометированные данные содержали информацию о номерах карт, сроках окончания действия карт и другие данные, которые считываются с магнитной полосы банковской карты. В некоторых случаях и имена держателей дебетовых и кредитных карт сети Хартленд, которых в США насчитывается 250000.


Хартленд не раскрывал информацию о масштабах утечки, но руководство компании охарактеризовало ее как одну из самых крупных в истории. По всей стране банки быстро среагировали и стали отправлять карты на замену, а также посоветовали клиентам внимательно следить за своими счетами.


Руководитель аналитического департамента InfoWatch Илья Шабанов полагает, что «компания Хартленд своими действиями создала опасный прецедент, ставящий под сомнение качество сертификации PCI DSS для процессинговых компаний. Как мы видим на этом примере, формальное прохождение сертификации и получение соответствующего свидетельства не является основанием успокоиться и перестать соблюдать режим повышенной безопасности, который требуется в работе с конфиденциальными данными клиентов.

Допущенной утечкой компания Хартленд не только нанесла сильный удар по доверию к себе со стороны клиентов, но и поставила под сомнения эффективность всей системы сертификации PCI DSS, продвигаемой Visa. Весьма забавно, что Хартленд, несмотря на этот инцидент, продолжает говорить о себе, как о компании с наиболее безопасным сервисом».


После удаления Хартленд из списка Visa, представители Хартленд напомнили о том, что за месяц до начала вторжения в их систему платежей компания была признана соответствующей стандарту PCI DSS. В ответ на это Visa пообещала восстановить Хартленд в списке доверенных организаций при условии, что компания приведет свою систему ИТ безопасности в полное соответствие со стандартом PCI DSS. По словам Директора компании Хартленд Роберта О Кара, это условие будет выполнено в течение нескольких недель.


По словам ведущего аналитика InfoWatch Николая Федотова, «Платёжная система "Виза" требует от своих агентов подтвердить соответствие стандарту PCI DSS до 30 сентября 2010 года (с ежегодным переподтверждением). Причём это требование распространяется только на крупных агентов - с оборотом более 6 миллионов транзакций в год. Для средних агентов требования более мягкие. Поэтому аннулирование сертификата о соответствии PCI DSS не означает для Хартленда запрета на обработку платежей. Пока только ущерб деловой репутации. Не исключено, что у "Визы" появятся и претензии к компании, которая проводила сертификацию Хартленда. По правилам, признаются только сертификаты, выданные оценщиком, аккредитованным самой "Визой" (Qualified Security Assessor).


Ситуация щекотливая: компания официально подтвердила своё соответствие стандарту по защите платёжных карт - и уже через месяц случается утечка. Причём, утечка не гипотетическая, когда конфиденциальные данные просто могли стать известны посторонним лицам. А вполне реальная утечка - с мошенническими покупками, арестами и покаяниями злоумышленников. Логически следует признать, что либо сертификация была проведена не должным образом, либо стандарт не гарантирует защиты.

 

Представители Хартленда открыто указывают на второй вариант, а "Виза", один из разработчиков PCI DSS, естественно, настаивает на первом».


Спустя два месяца после инцидента, связанного с нарушением безопасности платежной системы компании Хартланд продолжают поступать жалобы на работу системы от коммерческих и финансовых организаций. Ущерб от возможно крупнейшего в истории США нарушения безопасности в индустрии платежных систем продолжает расти. Хартланд подверглась общественному порицанию, против нее направляются иски в суд и ведется правительственное расследование.


Источник

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Угон учетной записи Microsoft принес исследователю $50 000

Независимый исследователь Лаксман Мутхиях (Laxman Muthiyah) обнаружил в онлайн-сервисах Microsoft уязвимость, позволяющую сбросить пароль пользователя в обход аутентификации и захватить контроль над аккаунтом. Разработчик высоко оценил эту находку, выдав баг-хантеру премию в $50 тысяч в рамках своей программы bug bounty.

Найденная проблема затрагивает процедуру восстановления учетной записи, включающую отправку семизначного одноразового кода на email или номер мобильного телефона пользователя, который тот должен ввести на сервисе для подтверждения своих полномочий на смену пароля. Мутхияху удалось угадать нужную комбинацию посредством брутфорса, преодолев используемое Microsoft шифрование и лимиты на количество подаваемых запросов.

 

Суммарно исследователю предстояло перебрать 10 млн возможных вариантов одноразового кода, то есть подать на сервер Microsoft огромное количество запросов. С этой целью Мутхиях написал скрипт, способный автоматизировать этот процесс.

Его тестирование показало наличие на сервисе защитных ограничений: из 1000 отправленных кодов сервер принял только 122, остальные вернули ошибку 1211 (ошибка очистки буфера). Поняв, что при последовательной передаче множества запросов включаются черные списки (блокировка IP-адреса), экспериментатор попробовал подавать запросы одновременно с тысячи разных IP. Как оказалось, сервер должен их получать без малейшей задержки — разница в пару миллисекунд уже вызывала блокировку атаки.

Скорректировав свой код, Мутхиях смог добиться успеха и благополучно сменить пароль. Этот способ, по его словам, очень ресурсоемкий и пригоден только для взлома аккаунтов с отключенной двухфакторной аутентификацией (2FA). Если жертва ее использует, то придется дополнительно ломать шестизначный код, генерируемый специальным приложением-аутентификатором.

Специалисты Microsoft классифицировали проблему как возможность повышения привилегий с обходом многофакторной аутентификации. Поскольку провести брутфорс в данном случае сложно, степень опасности уязвимости была оценена как существенная. Соответствующий патч вышел в ноябре прошлого года.

Похожую уязвимость Мутхиях обнаружил в прошлом году в Instagram, заработав $30 тыс. в качестве вознаграждения от Facebook.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru