Con una omisión de filtro y algo de hexadecimal, los números de tarjetas de crédito pirateados todavía son aptos para Google

Una palabra sobre la piratería de tarjetas de crédito

Si me conoce, o ha leído mi publicación anterior, sabe que trabajé para una empresa muy interesante antes de unirme a Toptal. En esta empresa, nuestro proveedor de pagos procesó transacciones en el vecindario de $ 500k por día. Parte de mi trabajo era hacer que nuestro proveedor cumpliera con PCI-DSS, es decir, con el estándar de seguridad de datos de la industria de tarjetas de pago.

Es seguro decir que este no era un trabajo para los débiles de corazón. En este punto, estoy bastante familiarizado con las tarjetas de crédito (CC), la piratería de tarjetas de crédito y la seguridad web en general. Después de todo, nuestro trabajo era proteger los datos de nuestros usuarios, para evitar que fueran pirateados, robados o mal utilizados.

Puede imaginarse mi sorpresa cuando vi el artículo de Bennett Haselton de 2007 sobre Slashdot: ¿Por qué los números CC siguen siendo tan fáciles de encontrar? En resumen, Haselton pudo encontrar números de tarjetas de crédito a través de Google, primero buscando los primeros ocho dígitos de una tarjeta en formato "nnnn nnnn" y luego usando algunas consultas avanzadas basadas en rangos de números. Por ejemplo, podría usar "4060000000000000..4060999999999999" para encontrar todos los Números de cuenta principal (PAN) de 16 dígitos de CHASE (cuyas tarjetas comienzan con 4060). Por cierto: aquí hay una lista completa de los números de identificación del emisor.

En ese momento, no le di mucha importancia, ya que Google inmediatamente comenzó a filtrar los tipos de consultas que usaba Bennett. Cuando intentaba buscar en Google un rango como ese, Google mostraba una página que decía algo como "Eres una mala persona".

Hace unos seis meses, mientras recordaba con un viejo amigo, este truco del número de tarjeta de crédito volvió a mi mente. Poco después, descubrí algo alarmante. No terriblemente alarmante, pero ciertamente alarmante, así que notifiqué a Google y esperé. Después de un mes sin respuesta, volví a avisarles sin éxito.

Con un ajuste menor en el viejo truco de Haselton, pude buscar en Google números de tarjetas de crédito, números de seguridad social y cualquier otra información confidencial de interés.

bennett

Ayer, algunos amigos míos (buhera.blog.hu y _2501) me llamaron la atención sobre una publicación más reciente de Slashdot: Números de tarjetas de crédito todavía compatibles con Google.

El autor del artículo, nuevamente Bennett Haselton, quien escribió el artículo original en 2007, afirma que los números de tarjetas de crédito todavía se pueden buscar en Google. No puede usar el truco de consulta de rango de números, pero aún se puede hacer. En lugar de usar rangos simples, debe aplicar un formato específico a su consulta. Algo así como: "1234 5678" (observe el espacio en el medio). Aparecen muchos resultados para esta consulta, pero muy pocos son de interés real. Entre los concursantes hay números de teléfono, códigos postales y demás. No extremadamente alarmante. Pero aquí viene el giro del truco de la tarjeta de crédito.

La metodología

Tenía curiosidad por saber si todavía era posible obtener números de tarjetas de crédito en línea de la forma en que podíamos hacerlo en 2007. Como buen ingeniero, generalmente abordo las cosas utilizando un plan inteligente y correctamente construido que debe ejecutarse perfectamente con la máxima precisión. Si ha probado ese método, es posible que sepa que puede fallar mucho, en cuyo caso su cuidadosa planificación y esfuerzo se desperdiciarán.

En TI tenemos una tendencia a sobreintelectualizar, incluso cuando no está exactamente justificado. He visto a mis amigos y colegas romper por completo las aplicaciones utilizando entradas aparentemente aleatorias. Su tasa de éxito fue impresionante y el esfuerzo que pusieron fue casi cero. Fue entonces cuando aprendí que para abrir una puerta, a veces solo hay que tocar.

El truco de la tarjeta de crédito

El párrafo anterior fue un intento ingeniosamente disfrazado de hacerme parecer menos idiota cuando presumo mis "habilidades de piratería de élite". UPS.

Primero, probé varios enfoques basados ​​en consultas de rango. Luego, analicé las consultas avanzadas y casi cualquier cosa que se te ocurra en una hora más o menos. Ninguno de ellos arrojó resultados significativos.

Y entonces tuve una idea loca.

¿Qué pasaría si hubiera una discrepancia entre el motor de filtrado y el back-end real? ¿Qué pasa si el mensaje que recibí de Google ("Eres una mala persona") no era del back-end en sí, sino de un motor de filtrado designado que Google había implementado para censurar consultas como la mía?

Tendría mucho sentido desde una perspectiva arquitectónica. Y errores como ese son bastante comunes: los vemos en ITSEC todo el tiempo, particularmente en soluciones IDS/IPS, pero también en software común. Hay un procedimiento de filtrado que procesa los datos y solo los entrega al back-end si cree que los datos son aceptables/no maliciosos. Sin embargo, el back-end y el servidor de filtrado casi nunca analizan la entrada exactamente de la misma manera. Por lo tanto, una entrada aparentemente válida puede pasar por el filtro y causar estragos en el back-end, pasando por alto el filtro.

Por lo general, puede desencadenar este tipo de comportamiento al proporcionar su entrada en varias codificaciones. Por ejemplo: en lugar de usar números decimales (0-9), ¿qué hay de convertirlos a hexadecimal, octal o binario? Bien adivina que…

Busca esto y Google te dirá que eres una mala persona: “4060000000000000..4060999999999999”

Busque esto y Google estará encantado de complacerlo: "0xe6c8c69c9c000..0xe6d753e6ecfff".

Lo único que debe hacer es convertir los números de tarjetas de crédito de decimal a hexadecimal. Eso es todo.

Los resultados incluyen…

• Enormes archivos CSV llenos de información potencialmente confidencial.

• Archivos de registro de comercio electrónico defectuosos.

• Información confidencial compartida en sitios de piratas informáticos (e incluso Facebook).

Es algo realmente aterrador.

Sé que este error no inspirará ninguna investigación de seguridad, pero ahí lo tienes. Google hizo este abucheo y ni siquiera me respondió. Bueno, sucede. Sin embargo, no envidio a la gente de seguridad de la gran G. Deben tener muchas cosas a las que prestar atención. Estoy publicando sobre este número de tarjeta de crédito pirateado aquí porque:

1. Es un impacto relativamente bajo.
2. Cualquiera que esté interesado y motivado ya habrá descubierto esto.
3. Para citar a Haselton, si los grandes jugadores no están asumiendo la responsabilidad y actuando sobre estas hazañas, entonces "lo correcto es sacar a la luz el problema e insistir en que lo solucionen lo antes posible".

Este truco se puede usar para buscar números de teléfono, SSN, TFN y más. Y, como escribió Bennett, estos números son mucho más difíciles de cambiar que su tarjeta de crédito, para lo cual simplemente puede llamar a su banco y cancelar la tarjeta.

Consultas de muestra

ADVERTENCIA: ¡NO busque en Google su propio número de tarjeta de crédito completo!

Busque cualquier CC PAN que comience con 4060: 40600000000000000..4060999999999999 ? 0xe6c8c69c9c000..0xe6d753e6ecfff

¿Algunos números de teléfono húngaros del proveedor 'Telenor'? No hay problema: 36200000000..36209999999 ? 0x86db02a00..0x86e48c07f

Busque los SSN. Afortunadamente, estos no devuelven muchos resultados significativos: 100000000..999999999 ? 0x5f5e100..0x3b9ac9ff

Hay muchos, muchos más.

Si encuentra algo muy alarmante, o si tiene curiosidad acerca de la piratería de tarjetas de crédito, déjelo en los comentarios o comuníquese conmigo por correo electrónico a [email protected] o en Twitter a @synsecblog. Llamar a la policía suele ser inútil en estos casos, pero podría valer la pena intentarlo. El comerciante dado o el proveedor de la tarjeta suele estar más interesado en abordar el problema.

A dónde ir desde aquí

Bueno, Google obviamente tiene que arreglar esto, posiblemente con la ayuda de los grandes jugadores como Visa y Mastercard. De hecho, Haselton proporciona una serie de sugerencias interesantes en los dos artículos vinculados anteriormente.

Sin embargo, lo que debe hacer (y por qué he escrito esta publicación) es correr la voz. El fraude con tarjetas de crédito es una gran industria, y el simple conocimiento puede evitar que se convierta en una víctima. Además, si tiene un sitio de comercio electrónico o maneja algún procesamiento de tarjeta de crédito, asegúrese de estar seguro. PCI-DSS es una buena guía, pero está lejos de ser perfecta. Además, siempre es una buena idea buscar en Google su sitio con la consulta avanzada "site:mysite.com", en busca de números confidenciales. Hay una posibilidad muy, muy pequeña de que encuentres algo, pero si lo haces, debes actuar de inmediato.

Además, un pequeño consejo amistoso: nunca debe dar la información de su tarjeta de crédito a nadie. Mi consejo sería usar PayPal o un servicio similar siempre que sea posible. Puedes consultar estos enlaces para más información:

• Consejos de seguridad para tarjetas de crédito Visa
• Consejos de seguridad para tarjetas de crédito de Citi

Y algunos consejos generales: no descargues cosas que no pediste, no abras correos no deseados y recuerda que tu banco nunca te pedirá tu contraseña.

Por cierto: si cree que no hay nadie lo suficientemente estúpido como para caer en estas técnicas de piratería de tarjetas de crédito o revelar la información de su tarjeta de crédito en Internet, eche un vistazo a @NeedADebitCard.

Manténganse a salvo gente!