مع تجاوز عامل التصفية وبعض أرقام بطاقات الائتمان السداسية العشرية التي تم اختراقها ، لا تزال قادرة على Google

كلمة عن قرصنة بطاقات الائتمان

إذا كنت تعرفني أو قرأت منشوري السابق ، فأنت تعلم أنني عملت في شركة مثيرة للغاية قبل الانضمام إلى Toptal. في هذه الشركة ، عالج مزود الدفع لدينا المعاملات في حدود 500 ألف دولار في اليوم. كان جزء من وظيفتي هو جعل مزودنا متوافقًا مع PCI-DSS - أي متوافق مع صناعة بطاقات الدفع - معيار أمان البيانات.

من الآمن أن نقول إن هذا لم يكن عملاً لضعاف القلوب. في هذه المرحلة ، أنا شديد الحميمية مع بطاقات الائتمان (CCs) واختراق بطاقات الائتمان وأمن الويب بشكل عام. بعد كل شيء ، كانت مهمتنا حماية بيانات مستخدمينا ، لمنع تعرضها للقرصنة أو السرقة أو إساءة الاستخدام.

يمكنك أن تتخيل دهشتي عندما رأيت مقال بينيت هاسيلتون عام 2007 عن Slashdot: لماذا لا يزال من السهل جدًا العثور على أرقام CC ؟. باختصار ، تمكنت Haselton من العثور على أرقام بطاقات الائتمان من خلال Google ، أولاً من خلال البحث عن الأرقام الثمانية الأولى للبطاقة بتنسيق "nnnn nnnn" ، وبعد ذلك باستخدام بعض الاستعلامات المتقدمة المبنية على نطاقات الأرقام. على سبيل المثال ، يمكنه استخدام "4060000000000000..4060999999999999" للعثور على جميع أرقام الحساب الأساسية (PANs) المكونة من 16 رقمًا من CHASE (تبدأ جميع بطاقاتها بـ 4060). بالمناسبة: إليك قائمة كاملة بأرقام معرف جهة الإصدار.

في ذلك الوقت ، لم أفكر كثيرًا في ذلك ، حيث بدأت Google على الفور في تصفية أنواع الاستعلامات التي كان بينيت يستخدمها. عندما حاولت البحث في نطاق من هذا القبيل على Google ، ستعرض Google صفحة تقول شيئًا على غرار "أنت شخص سيء".

منذ حوالي ستة أشهر ، أثناء استرجاع ذكرياتك مع صديق قديم ، جاء اختراق رقم بطاقة الائتمان هذا إلى الذهن مرة أخرى. بعد فترة وجيزة ، اكتشفت شيئًا ينذر بالخطر. لم يكن ذلك مقلقًا للغاية ، ولكنه مثير للقلق بالتأكيد - لذلك أبلغت Google وانتظرت. بعد شهر دون رد ، أخطرتهم مرة أخرى ولكن دون جدوى.

من خلال تعديل بسيط على خدعة Haselton القديمة ، تمكنت من الحصول على أرقام بطاقات ائتمان Google وأرقام الضمان الاجتماعي وأي معلومات حساسة أخرى ذات أهمية.

بينيت

بالأمس ، جلب لي بعض أصدقائي (buhera.blog.hu و _2501) منشورًا أحدث من Slashdot: أرقام بطاقات الائتمان ما زالت قادرة على Google.

يدعي مؤلف المقال ، مرة أخرى بينيت هاسيلتون ، الذي كتب المقالة الأصلية في عام 2007 ، أنه لا يزال من الممكن البحث في Google عن أرقام بطاقات الائتمان. لا يمكنك استخدام اختراق استعلام نطاق الأرقام ، ولكن لا يزال من الممكن القيام بذلك. بدلاً من استخدام نطاقات بسيطة ، تحتاج إلى تطبيق تنسيق محدد لاستعلامك. شيء من هذا القبيل: "1234 5678" (لاحظ الفراغ في المنتصف). تظهر الكثير من الزيارات لهذا الاستعلام ، لكن القليل منها له أهمية فعلية. من بين المتسابقين أرقام الهواتف والرموز البريدية وما إلى ذلك. ليس مقلقا للغاية. ولكن هنا يأتي تطور اختراق بطاقة الائتمان.

المنهجية

كنت أشعر بالفضول لمعرفة ما إذا كان لا يزال من الممكن الحصول على أرقام بطاقات الائتمان عبر الإنترنت بالطريقة التي يمكننا بها في عام 2007. وبصفتي أي مهندس جيد ، عادةً ما أتعامل مع الأمور باستخدام خطة ذكية ومفسرة بشكل صحيح تحتاج إلى تنفيذها بشكل مثالي بأقصى درجات الدقة. إذا كنت قد جربت هذه الطريقة ، فقد تعلم أنها يمكن أن تفشل بشدة - وفي هذه الحالة يذهب تخطيطك وجهودك الدقيقة سدى.

في مجال تكنولوجيا المعلومات ، نميل إلى الإفراط في التفكير ، حتى عندما لا يكون هناك ما يبرر ذلك تمامًا. لقد رأيت أصدقائي وزملائي يكسرون التطبيقات تمامًا باستخدام مدخلات تبدو عشوائية. كان معدل نجاحهم مذهلاً والجهد الذي بذلوه فيه كان قريبًا من الصفر. هذا عندما علمت أنه لفتح باب ، عليك أحيانًا أن تطرقه.

اختراق بطاقة الائتمان

كانت الفقرة السابقة محاولة مقنعة بذكاء لتجعلني أبدو أقل حماقة عندما أتباهى بـ "مهارات القرصنة النخبة". أووبس.

أولاً ، جربت العديد من الأساليب القائمة على نطاق الاستعلام. بعد ذلك ، نظرت إلى الاستفسارات المتقدمة وأي شيء تقريبًا قد تطرحه في غضون ساعة أو نحو ذلك. لم يسفر أي منهم عن نتائج مهمة.

ثم خطرت لي فكرة مجنونة.

ماذا لو كان هناك عدم تطابق بين محرك الفلترة والخلفية الفعلية؟ ماذا لو أن الرسالة التي تلقيتها من Google ("أنت شخص سيء") لم تكن من الخلفية نفسها ، ولكن بدلاً من ذلك من محرك ترشيح معين قامت Google بتطبيقه لفرض رقابة على استفسارات مثل استفساراتي؟

سيكون له معنى كبير من منظور معماري. وأخطاء مثل هذه شائعة جدًا - نراها في ITSEC طوال الوقت ، لا سيما في حلول IDS / IPS ، ولكن أيضًا في البرامج الشائعة. هناك إجراء تصفية يعالج البيانات ويعطيها فقط إلى النهاية الخلفية إذا اعتقدت أن البيانات مقبولة / غير ضارة. ومع ذلك ، لا تقوم النهاية الخلفية وخادم التصفية أبدًا بتحليل الإدخال بالطريقة نفسها تمامًا. وبالتالي ، يمكن لإدخال يبدو صالحًا أن يمر عبر الفلتر ويحدث فسادًا في النهاية الخلفية ، متجاوزًا الفلتر بشكل فعال.

يمكنك عادة تشغيل هذا النوع من السلوك من خلال توفير المدخلات الخاصة بك في ترميزات مختلفة. على سبيل المثال: بدلاً من استخدام الأرقام العشرية (0-9) ، ماذا عن تحويلها إلى رقم سداسي عشري أو ثماني أو ثنائي؟ حسنا خمن ماذا…

ابحث عن هذا وسيخبرك Google أنك شخص سيء: "4060000000000000..4060999999999999"

ابحث عن هذا وسيسعد Google بإلزام: “0xe6c8c69c9c000..0xe6d753e6ecfff”.

الشيء الوحيد الذي عليك القيام به هو تحويل أرقام بطاقات الائتمان من رقم عشري إلى رقم سداسي عشري. هذا هو.

النتائج تشمل ...

• ملفات CSV ضخمة الحجم مليئة بمعلومات يحتمل أن تكون حساسة.

• ملفات سجل التجارة الإلكترونية الخاطئة.

• مشاركة المعلومات الحساسة على مواقع المتسللين (وحتى Facebook).

إنها أشياء مخيفة حقًا.

أعلم أن هذا الخطأ لن يلهم أي بحث أمني ، ولكن هناك. قامت Google بعمل هذا بوو بوو وأهملت حتى أن تكتب لي مرة أخرى. حسنًا ، هذا يحدث. أنا لا أحسد رجال الأمن في G الكبير ، رغم ذلك. يجب أن يكون لديهم الكثير من الأشياء للبحث عنها. أنشر معلومات عن اختراق رقم بطاقة الائتمان هذا هنا للأسباب التالية:

1. تأثيره منخفض نسبيًا.
2. أي شخص مهتم ومتحمس سيكون قد اكتشف ذلك الآن.
3. على حد تعبير Haselton ، إذا لم يتحمل اللاعبون الكبار المسؤولية ويتصرفون بناءً على هذه المآثر ، فإن "الشيء الصحيح الذي يجب فعله هو تسليط الضوء على المشكلة والإصرار على إصلاحها في أسرع وقت ممكن".

يمكن استخدام هذه الحيلة للبحث عن أرقام الهواتف وشبكات الضمان الاجتماعي و TFN والمزيد. وكما كتب بينيت ، فإن تغيير هذه الأرقام أصعب بكثير من تغيير بطاقتك الائتمانية ، حيث يمكنك ببساطة الاتصال بالمصرف الذي تتعامل معه وإلغاء البطاقة.

استعلامات عينة

تحذير: لا تستخدم Google رقم بطاقتك الائتمانية بالكامل!

ابحث عن أي CC PAN يبدأ بـ 4060: 4060000000000000..4060999999999999؟ 0xe6c8c69c9c000..0xe6d753e6ecfff

بعض أرقام الهواتف المجرية من مزود خدمة "Telenor"؟ لا مشكلة: 36200000000..36209999999؟ 0x86db02a00..0x86e48c07f

ابحث عن SSNs. لحسن الحظ ، هذه لا تعطي الكثير من النتائج ذات المعنى: 100000000..999999999؟ 0x5f5e100..0x3b9ac9ff

هناك الكثير والكثير.

إذا وجدت أي شيء مزعج للغاية ، أو إذا كنت مهتمًا باختراق بطاقة الائتمان ، فيرجى تركه في التعليقات أو الاتصال بي عبر البريد الإلكتروني على [email protected] أو على Twitter علىsynsecblog. عادة ما يكون استدعاء الشرطة عديم الجدوى في هذه الحالات ، ولكن قد يكون الأمر يستحق المحاولة. عادة ما يكون التاجر أو مزود البطاقة أكثر حرصًا على معالجة المشكلة.

أين أذهب من هنا

حسنًا ، من الواضح أن Google عليها إصلاح هذا الأمر ، ربما بمساعدة لاعبين كبار مثل Visa و Mastercard. في الواقع ، يقدم Haselton عددًا من الاقتراحات الشيقة في المقالتين المرتبطتين أعلاه.

ومع ذلك ، ما عليك القيام به (ولماذا كتبت هذا المنشور) هو نشر الكلمة. يعد الاحتيال على بطاقة الائتمان صناعة كبيرة ، ويمكن أن يخلصك الإدراك البسيط من الوقوع ضحية. علاوة على ذلك ، إذا كان لديك موقع للتجارة الإلكترونية أو كنت تتعامل مع أي معالجة لبطاقات الائتمان ، فيرجى التأكد من أنك آمن. يعد PCI-DSS دليلًا جيدًا ، لكنه بعيد عن الكمال. بالإضافة إلى ذلك ، من الأفضل دائمًا أن تقوم Google بموقعك باستخدام الاستعلام المتقدم "site: mysite.com" ، للبحث عن أرقام حساسة. هناك فرصة ضئيلة جدًا جدًا لأن تجد أي شيء - ولكن إذا فعلت ذلك ، يجب عليك التصرف على الفور.

أيضًا ، القليل من النصائح الودية: لا يجب أبدًا إعطاء معلومات بطاقتك الائتمانية لأي شخص. نصيحتي هي استخدام PayPal أو خدمة مماثلة كلما أمكن ذلك. يمكنك التحقق من هذه الروابط لمزيد من المعلومات:

• نصائح حول سلامة بطاقة ائتمان Visa
• نصائح أمان بطاقة ائتمان Citi

وبعض النصائح العامة: لا تقم بتنزيل أشياء لم تطلبها ، ولا تفتح رسائل البريد الإلكتروني العشوائية ، وتذكر أن البنك الذي تتعامل معه لن يطلب كلمة مرورك أبدًا.

بالمناسبة: إذا كنت تعتقد أنه لا يوجد شخص غبي بما يكفي للوقوع في فخ تقنيات اختراق بطاقات الائتمان هذه أو التخلي عن معلومات بطاقة الائتمان الخاصة بهم على الإنترنت ، فقم بإلقاء نظرة علىNeedADebitCard.

ابقوا بأمان أيها الناس!