Признан взлом базы Хронопэй

Любопытный материал

http://www.twitpic.com/3k5h3a
Признан взлом базы Хронопэй

18 days ago

Vladimir Tkachenko likes this

You, Vladimir Tkachenko like this

25 comments

Vladimir Matviychuk, CISA, CISM Любопытно, что лежат и сайт компании и официальный блог

Alex Grebenyuk сайт уже бывал неживой,но тогда взлом не признали.А сейчас признан....Не завидую их аудитору, если честно

Vladimir Matviychuk, CISA, CISM В плане PCI ?
Так не первый случай. Американцы уже доказали, что PCI сохранности карточных данных не гарантирует.

Хотя, согласен, аудиторам сейчас будет головняк...

А Хронопей соответствовал?

Vladimir Matviychuk, CISA, CISM Тогда головняк не только у аудиторов. Аудиторы сейчас будут доказывать визе, что сделали процедуры в соответствии со стандартами, а другие аудиторы в других компаниях начнут перегибать палку. Для перестраховки.

Alex Grebenyuk в общем, грустная ситуация. Новогодных каникул в "Холнопэе" не будет, видимо

Vladimir Matviychuk, CISA, CISM Вот почему "четверка" в свое время отказалась от услуг по аудиту по PCI-DSS. Деньги за услуги копеечные, а риски необъятные.

Alex Grebenyuk ну, это не обсуждается. Хотя делать это все равно надо и тщательнее (с) Жванецкий

Vladimir Gninyuk А как они могли "соответствовать" и при этом хранить CVV2 коды?

Dmitriy Tsygankov А кем признан взлом? Визой, форензиками или журналистами? Новость в последнее время что то часто появляется как то... :)
хранить CVV2 теоретически могли, но надо было очень хорошо прятать от аудитора чтоб он их не нашел.
Для меня лично ответ компании на вопрос почему не занимаетесь аудитами (любыми) не занимаемся потому, что ответственность большая звучит странно. То есть аудиты, за результаты которых ответственность никакая это наше, а где приходиться отвечать страховкой, деньгами и т.д. это не для нас. Не солидный аргумент для столь уважаемых компаний.
Господа, Вы ж специалисты и не первый день в этом мире живете, а очень верите всякого рода пиару.

Vladimir Gninyuk 2 Dmitriy Tsygankov: все правильно, но мне не интересно, взломали их или нет. И вообще я первый раз слышу о такой компании.

Для меня интересным есть момент, когда директор заявляет, что были украдены CVV2 коды, на фоне утверждения, что компания проходила аудит на соответствие требованиям PCI-DSS.

Если они действительно проходили аудит, то они были информированы о запрете в хранении критических аутентификационных данных.

Зачем хранить CVV2 коды? Что то здесь не так. Может их хранили, что бы их потом "украли"?

Vladimir Gninyuk Или же это действительно "деза" топорно сделанная

Dmitriy Tsygankov На самом деле компания не хранила CVV2. В хранении CVV2 нет необходимости. Сущетсвуют специальные типа транзакций (реккурентные платежи) при которых операции проходят безCVV2. Если быть точным, то CVV2 (CVC2) проверяется при первой операции, а при последующих выставляется тип - рекурентный и не проверяется.
Также, во время аудита аудиторы должны проверять наличие каких либо запрещенных данных в системах проверяемой компании. Если такие данные находятся то сертификация проваливается. На самом деле надо помнить, что аудитор проверяет соответствие стандарту во время аудита. Если после успешного аудита когда аудитор уехал компания начинает хранить запрещенные данные и нарушать другие требования стандарта PCI DSS аудитор в этом не виноват. Есть разница между наличием сертификата и соответствием стандарту PCI DSS.

В рунете, кстати, уже ходит информация о том, что комментарий на главной странице не принадлежит Хронопею. Будем ждать официальных данных. В случае компрометации платежные системы вызывают специальных специалистов (forensic), которые проводят расследование факта взлома и устанавливают соответствовала ли компания во время взлома стандарту PCI DSS.

Boris Kosyakov Компания Chronopay отвергла обвинения в утере базы данных с номерами карточных счетов клиентов. В службе техподдержки Chronopay обозревателю Банки.ру официально заявили, что клиентам нет никакой необходимости менять карточки, «засвеченные» в платежной системе. Информация о потере данных, размещенная на сайте компании якобы от имени генерального директора ЗАО «Хронопей» Павла Врублевского, никакого отношения к официальным представителям компании не имеет. Ее разместили на страничке злоумышленники, укравшие домен.

Тем не менее сотрудники Chronopay предупреждают клиентов о возможных задержках платежей, но данную проблему в компании обещают решить ровно в 17:00 27 декабря.

Илья Сачков, генеральный директор компании Group IB, занимающейся расследованием компьютерных преступлений, уверен, что никакую базу данных у Chronopay не крали. По его мнению, платежная система столкнулась с активизировавшимися под конец года преступниками, ворующими доменные имена. В Group IB за последние две недели поступило сразу несколько жалоб на кражу домена. При этом пострадали компании, чьи домены регистрировала фирма DirectNIC. Среди потерпевших нет ни одной российской фирмы, очевидно, потому, что регистратор DirectNIC пользуется популярностью главным образом на Западе. Текущие проблемы с платежами системы Chronopay, по словам Сачкова, связаны как раз с тем, что основной домен (chronopay.com) был украден и переведен на сторонний сервер.

Источник: Banki.ru

Vladimir Matviychuk, CISA, CISM 2 Dmitriy Tsygankov
Не нужно играться словами. Речь шла не о любых аудитах а конкретно о PCI-DSS.
Зачем четверке рисковать репутацией и нести неограниченную финансовую ответственность ради стандарта, который не гарантирует сохранность данных?

Vladimir Matviychuk, CISA, CISM Что-то по новый год все в черный пиар ударились...

Dmitriy Tsygankov Владимир, не подумайте, что я против кого либо из компаний четверки.
На самом деле есть обязательная страховка для аудитороской фирмы. Кроме этого аудит подтверждает соответствие стандарту PCI DSS в момент аудита, как я уже писал. Есть еще другие ньюансы по ответсвенности аудиторов. Ни один стандарт не может гарантировать сохранность данных. Это факт. Риски безусловно есть. И аргументы Ваши я тоже понимаю. Для четверки стоимость аудитов PCI DSS слишком мала. Но вот боязнь финансовой ответственности за риски (пусть как вы и пишите неограниченные) совсем не звучит. Если аудитор все делает правильно риски остаются, но сводятся к минимуму. Ведь за бухгалтерский аудит и тому подобные тоже есть разные ответственности и думаю не маленкие.

Vladimir Matviychuk, CISA, CISM Дмитрий, речь идет не о боязни финансовой ответственности. Аудиторы ее несут всегда. Только ответственность есть разная. Нормальная юридическая практика, когда ответственность компании ограничена конкретной суммой. Пускай это сотни тысяч, пускай пару миллионов. Но она ограниченна. Неограниченная финансовая ответственность означает, что в "случае чего" компания ответит не только финансовыми средствами на счетах, но и вплоть до имущества партнеров.
Это требование Visa выдвинула в 2005. После чего четверка отказалась от такого вида услуг. Тут скорее принципиальная позиция. Риск должен быть сопоставим с доходом.

Alex Grebenyuk Замечу, что летний "слив" имел реальный кусок базы клиентов - этот слив признали инсайдерской атакой. И второй раз за год Хронопэй сталкивается с остановкой сервисов. Теперь - по киберсквоттерам. Бояться нечего? Или все же стоит задуматься?

Dmitriy Tsygankov Владимир, согласен, что с ответсвенностью платежные системы перегибают палку и позиция компаний понятна.

Alex Grebenyuk честно - я не слышал от представителей платежных систем такой объем ответственности. Цифры звучали вполне конкретные....Хотя - я ростом маленький для обсуждения всех нюансов

Boris Kosyakov Хронопей признал факт кражи номеров кредитных карт
http://www.securitylab.ru/news/403692.php

Alex Grebenyuk номера карт были доступны еще вчера, причем подтвержденные....

Vladimir Gninyuk Т е никакого взлома, а "брутальный" фарминг . Вот откуда и CVV...

Alex Grebenyuk еще любопытный комментарий
http://rauf.livejournal.com/427599.html

17 days ago
Comments