Центр исследования компьютерной преступности

home контакты

Высокотехнологичным злоумышленникам пригодится любая личная информация

Дата: 21.07.2005
Источник: Lenta.ru
Автор: Сергей Рублёв


card/card12.jpg В июне 2005 года известная компания MasterCard, управляющая одноименной платежной системой, сообщила о событии, которое можно назвать самым крупным преступлением в сфере информационных технологий в нынешнем недолгом пока веке. Компания распространила заявление, в котором указала, что один из ее партнеров - карточный оператор CardSystems Solutions из Атланты - стал объектом хакерского взлома, в результате которого высокотехнологичные злоумышленники получили доступ к 40 миллионам единиц данных о платежных реквизитах различных держателей банковских карт.

CardSystems Solutions занимается внедрением различного рода карточных технологий для клиентов в США, через нее также проходят некоторые платежи, совершаемые участниками платежных систем, с которыми работает эта компания. Следует отметить, что в их числе не только MasterCard, но и более популярная Visa, а также другие системы, например, American Express. Однако панику подняла именно MasterCard, которая насчитала среди искомых 40 миллионов примерно 68 тысяч держателей своих карт.

В CardSystems заявлению MasterCard немало удивились, ведь впервые "проблема безопасности" в информационных системах этой фирмы была официально выявлена еще в конце мая, после чего компания обратилась в ФБР, где приказали информацию огласке не предавать. По всей видимости, в курс была поставлена и Visa, и другие компании этого профиля, но все они сохраняли молчание и до сих пор не сказали ничего внятного на эту тему, а число затронутых проблемой клиентов Visa может быть побольше, чем у MasterCard.

Благо выбор богат - 40 миллионов реквизитов. Исполнительный директор CardSystems Джон Перри позже пояснил, что это число реквизитов, которые могли быть украдены потенциально. Однозначно украденными можно назвать примерно 200 тысяч из них, пояснил он. При этом он признался, что, вообще-то, компания не должна была хранить данную информацию - каждую запись положено стирать после завершения связанных с ней операций. Однако, как сообщил Перри, "в экспериментальных целях" (надо было выяснить причину возникновения каких-то ошибок) компания не только ее хранила, но хранила "неподобающим образом" - "в файлах". Вероятно, Перри имел в виду то, что заветные цифры и буквы были не записями в некой особой базе данных, а просто хранились в виде списков в простых файлах (например, текстовых), да еще и наверняка в незашифрованном виде. То есть хакерам, получившим над нужной компьютерной системой несанкционированный контроль, оставалось только открыть файл и прочитать, что там написано, при желании скопировав данные себе. Они и скопировали.

Графика с сайта CardSystems.com

Графика с сайта CardSystems.com
То, что утечка является результатом действий хакеров, сомнений ни у кого не вызывает, потому что в сообщениях о происшествии фигурирует "программный модуль", который был внедрен в систему для получения доступа к содержащимся в ней данным. Проще говоря, это "троян" - "шпион", внедренный в некий компьютер и дающий возможность делать с ним что угодно руками хакера, сидящего где-то в таинственном месте и отдающего "трояну" команды. Чтобы подсадить "трояна", нужно либо каким-либо способом заставить человека, имеющего доступ к нужной машине, установить его, либо удаленно взломать операционную систему одним из многочисленных известных способов, которые не должны сработать, если администратор системы достаточно квалифицирован и знает, какие защитные меры надо принимать. Впрочем, можно и просто договриться с каким-либо сотрудником, чтобы он скопировал нужные данные и передал их злоумышленникам.

Сейчас в Израиле вовсю гремит громкий скандал по делу четырех местных фирм, которые при посредничестве детективных агентств внедрили "троянов" на компьютеры своих конкурентов и оказались таким образом осведомлены о многих внутренних аспектах их деятельности, в том числе о финансовых результатах. "Трояны" были подсунуты конкурентам вместе с презентационными компакт-дисками, которые сотрудники, как ни в чём не бывало, вставляли в компьютеры и запускали - им демонстрировались рекламные ролики, а "трояны" в это время тихо размещались на жестких дисках компьютеров-жертв. Какая методика была применена в случае с CardSystems, непонятно, но явно можно говорить о том, что файлы с критичными данными оказались у хакеров как на ладони.

Как снежный ком

Самое занятное в этой ситуации то, что откровение MasterCard стало очередным (и самым серьезным) из серии аналогичных. Целый ворох сообщений о "пропаже персональных данных" из американских фирм был привнесен в мировое информационное пространство за последние полгода, причем масштабы и обстоятельства происшествий в ряде случаев поистине впечатляющие. Пропадают не только банковские и платежные реквизиты, но и различного рода паспортные данные, номера социального страхования, данные о водительских правах и прочая подобная информация, огромные массы которой хранятся в базах данных уполномоченных на всякого рода юридическую и финансовую деятельность фирм. Информация эта применяется для множества разных задач, связанных с множеством форм документооборота и платежных транзакций.

В начале июня о пропаже персональной информации о 3,9 миллионов своих клиентов оповестила мир крупнейшая мировая банковская группа Citigroup. Причем в ее случае ситуация приняла совсем комичный оборот - бесценные данные (номера соцстрахования, история счетов, данные о займах, причем не только нынешних клиентов, но и людей, бывших клиентами в прошлом) были записаны на магнитные ленточные бобины (такие применяются для резервирования больших объемов цифровых данных, устройства для работы с ними называется "стримерами") и отправлены "на аудит" из Нью-Йорка в Техас популярной службой доставки UPS (United Parcel Service), которая эти бобины... потеряла по дороге.

Магнитные бобины для резервирования данных, фото с сайта geog.ucsb.edu

Магнитные бобины для резервирования данных, фото с сайта geog.ucsb.edu
Исполнительный вице-президент Citigroup Кевин Кессинджер пообещал, что в будущем подобные сведения будут передаваться "только по сетям" и только "электронным способом в зашифрованном виде". Из чего можно сделать вывод, что конфиденциальные сведения крупнейшая и авторитетнейшая американская финансовая группа передавала не просто в виде почтовой посылки, но еще и в виде тех же никак не защищенных "файлов", что в наш век изощреннейших криптографических решений выглядит совсем несуразно.

Случай с Citigroup признавался самым масштабным до случая с CardSystems. Самым масштабным из богатого набора других: в феврале об утрате данных о 1,2 миллиона клиентов сообщил крупный банк Bank of America, который тоже потерял бобины; в апреле 180 тысяч реквизитов платежных карт потеряло американское отделение банка HSBC; в мае стало известно об утечке информации о 600 тысячах настоящих и бывших сотрудников небезызвестного медиахолдинга Time Warner, в который входят CNN, AOL, Warner Brothers и другие; и так далее.

В марте, в частности, была предана огласке информация об утечке данных о 310 тысячах американских граждан из базы данных консалтинговой компании Seisint, которая в минувшем августе была выкуплена американской юридической компанией LexisNexis, которая, в свою очередь, входит в англо-голландский издательский холдинг Reed Elsevier. Собственно, при передаче дел от старых владельцев к новым и было выявлено, что "с января 2003 года в базы данных Seisint около 60 раз проникали неизвестные лица, пользуясь идентификационными данными клиентов компании".

Всевозможные данные на простых американцев имелись в распоряжении Seisint согласно специфике ее деятельности - действуя по соответствующей лицензии, она может использовать их в работе, в том числе продавать уполномоченным на такие покупки структурам. В частности, компания сотрудничает с проектом правительства США "Matrix", который был создан в рамках усиленно проводимых властями страны с 2001 года антитеррористических мероприятий и располагает базой личных данных о миллионах граждан США.

В феврале аналогичная утечка была обнаружена также в компании ChoicePoint, которая является конкурентом Seisint. У нее были похищены личные данные около 145 тысяч жителей США, в основном из штата Калифорния. Объявлено об инциденте также было "задним числом" - компания скромно призналась, что за минувшую осень с ней успела поработать некая аккредитованная фирма, которая, согласно заключенным договорам, получала доступ к той самой информации, а теперь в полицию обращаются пострадавшие от махинаций клиенты, данные которых были как раз скопированы той фирмой, но к настоящему моменту ее следов никак не удается найти.
Сайт ChoicePoint.com

Сайт ChoicePoint.com

Именно люди, пострадавшие в результате махинаций, совершенных с использованием их идентификационных или финансовых данных, и являются, как правило, первоисточниками сообщений о подобных инцидентах. Они обращаются в полицию, полиция начинает следствие, которое немедленно приводит ее в ту или иную консалтинговую или финансовую структуру. У которой, как на беду, как раз были подозрения, что кто-то у них что-то украл, но уверены они в этом не были. А тут как раз лишний повод для уверенности. Но придется известить о случившемся публику, тут уж никуда не деться.

Занятно и то, что публика поначалу удивлялась. После случая с ChoicePoint "попавших под раздачу" жителей Калифорнии через СМИ предупредили, что их персональные данные "скомпрометированы". "Какие это персональные данные? - зазвучали после этого голоса простых жителей Калифорнии. - Я вообще не знаю никакой компании ChoicePoint и не давал ей никаких персональных данных!"

Персональные данные

Теоретически, "персональные данные" не являются страшным секретом - каждый из нас, например, некто Петров Сидор Иванович,...

Добавить комментарий
Всего 0 комментариев


Copyright © 2001–2019 Computer Crime Research Center

CCRC logo
Главным направлением в деятельности Центра является широкое информирование общественности об основных проблемах и способах их решения, с которыми сталкивается общество в сфере противодействия компьютерной преступности.