• Page d'accueil
  • Des articles
  • Général
  • Avec un contournement de filtre et certains numéros hexadécimaux, les numéros de carte de crédit piratés sont toujours, toujours compatibles avec Google

Avec un contournement de filtre et certains numéros hexadécimaux, les numéros de carte de crédit piratés sont toujours, toujours compatibles avec Google

Publié: 2022-03-11

Un mot sur le piratage de cartes de crédit

Si vous me connaissez, ou avez lu mon post précédent, vous savez que j'ai travaillé pour une entreprise très intéressante avant de rejoindre Toptal. Dans cette entreprise, notre fournisseur de paiement traitait des transactions d'environ 500 000 $ par jour. Une partie de mon travail consistait à rendre notre fournisseur conforme à la norme PCI-DSS, c'est-à-dire conforme à la norme de sécurité des données de l'industrie des cartes de paiement.

Il est sûr de dire que ce n'était pas un travail pour les faibles de cœur. À ce stade, je suis assez intime avec les cartes de crédit (CC), le piratage des cartes de crédit et la sécurité Web en général. Après tout, notre travail consistait à protéger les données de nos utilisateurs, à les empêcher d'être piratées, volées ou utilisées à mauvais escient.

Vous pouvez imaginer ma surprise quand j'ai vu l'article de Bennett Haselton de 2007 sur Slashdot : Pourquoi les numéros CC sont-ils toujours aussi faciles à trouver ?. En bref, Haselton a pu trouver des numéros de carte de crédit via Google, d'abord en recherchant les huit premiers chiffres d'une carte au format "nnnn nnnn", puis en utilisant des requêtes avancées basées sur des plages de numéros. Par exemple, il pourrait utiliser "4060000000000000..4060999999999999" pour trouver tous les numéros de compte principaux (PAN) à 16 chiffres de CHASE (dont les cartes commencent toutes par 4060). Au fait : voici une liste complète des numéros d'identification des émetteurs.

À l'époque, je n'y pensais pas beaucoup, car Google a immédiatement commencé à filtrer les types de requêtes que Bennett utilisait. Lorsque vous essayez de Google une plage comme celle-ci, Google affiche une page qui dit quelque chose comme "Vous êtes une mauvaise personne".

C'est la réponse de Google à ceux qui essaient de comprendre comment trouver des numéros de carte de crédit en ligne.

Il y a environ six mois, alors que j'évoquais des souvenirs avec un vieil ami, ce piratage de numéro de carte de crédit m'est revenu à l'esprit. Peu de temps après, j'ai découvert quelque chose d'alarmant. Pas terriblement alarmant, mais certainement alarmant - alors j'ai averti Google et j'ai attendu. Après un mois sans réponse, je les ai à nouveau notifiés en vain.

Avec une modification mineure de l'ancienne astuce de Haselton, j'ai pu rechercher sur Google les numéros de carte de crédit, les numéros de sécurité sociale et toute autre information sensible d'intérêt.

J'ai donc averti Google et j'ai attendu. Après un mois sans réponse, je les ai à nouveau notifiés en vain. Avec une modification mineure de l'ancienne astuce de Haselton, j'ai pu rechercher sur Google les numéros de carte de crédit, les numéros de sécurité sociale et toute autre information sensible.

Bennet

Hier, certains de mes amis (buhera.blog.hu et _2501) ont attiré mon attention sur un article Slashdot plus récent : les numéros de carte de crédit sont toujours googleables.

L'auteur de l'article, encore une fois Bennett Haselton, qui a écrit l'article original en 2007, affirme que les numéros de carte de crédit peuvent toujours être googlés. Vous ne pouvez pas utiliser le hack de requête de plage de numéros, mais cela peut toujours être fait. Au lieu d'utiliser des plages simples, vous devez appliquer une mise en forme spécifique à votre requête. Quelque chose comme : "1234 5678" (remarquez l'espace au milieu). De nombreux résultats sont générés pour cette requête, mais très peu présentent un intérêt réel. Parmi les candidats figurent des numéros de téléphone, des codes postaux, etc. Pas extrêmement alarmant. Mais voici la torsion de piratage de carte de crédit.

La Méthodologie

J'étais curieux de savoir s'il était encore possible d'obtenir des numéros de carte de crédit en ligne comme nous le pouvions en 2007. Comme tout bon ingénieur, j'aborde généralement les choses en utilisant un plan correctement interprété et intelligent qui doit être parfaitement exécuté avec la plus grande précision. Si vous avez essayé cette méthode, vous savez peut-être qu'elle peut échouer très durement, auquel cas votre planification minutieuse et vos efforts sont vains.

En informatique, nous avons tendance à sur-intellectualiser, même lorsque cela n'est pas exactement justifié. J'ai vu mes amis et collègues casser complètement des applications en utilisant des entrées apparemment aléatoires. Leur taux de réussite était époustouflant et l'effort qu'ils y ont consacré était proche de zéro. C'est là que j'ai appris que pour ouvrir une porte, il suffit parfois de frapper.

Le piratage de la carte de crédit

Le paragraphe précédent était une tentative astucieusement déguisée de me faire passer pour moins idiot quand je montre mes "compétences de piratage d'élite". Oups.

Tout d'abord, j'ai essayé plusieurs approches basées sur des requêtes de plage. Ensuite, j'ai examiné les requêtes avancées et à peu près tout ce que vous pourriez trouver en une heure environ. Aucun d'entre eux n'a donné de résultats significatifs.

Et puis j'ai eu une idée folle.

Et s'il y avait une incompatibilité entre le moteur de filtrage et le back-end réel ? Et si le message que j'ai reçu de Google ("Vous êtes une mauvaise personne") ne provenait pas du back-end lui-même, mais plutôt d'un moteur de filtrage désigné que Google avait mis en place pour censurer les requêtes comme la mienne ?

Cela aurait beaucoup de sens d'un point de vue architectural. Et les bogues comme celui-ci sont assez courants - nous les voyons tout le temps dans ITSEC, en particulier dans les solutions IDS/IPS, mais aussi dans les logiciels courants. Il existe une procédure de filtrage qui traite les données et ne les transmet au back-end que s'il pense que les données sont acceptables/non malveillantes. Cependant, le back-end et le serveur de filtrage n'analysent presque jamais l'entrée exactement de la même manière. Ainsi, une entrée apparemment valide peut passer par le filtre et faire des ravages sur le back-end, en contournant efficacement le filtre.

Vous pouvez généralement déclencher ce type de comportement en fournissant votre entrée dans divers encodages. Par exemple : au lieu d'utiliser des nombres décimaux (0-9), que diriez-vous de les convertir en hexadécimal ou en octal ou en binaire ? Bien devinez quoi…

Recherchez ceci et Google vous dira que vous êtes une mauvaise personne : "4060000000000000..4060999999999999"

Recherchez ceci et Google se fera un plaisir de vous répondre : "0xe6c8c69c9c000..0xe6d753e6ecfff".

La seule chose que vous devez faire est de convertir les numéros de carte de crédit de décimal en hexadécimal. C'est ça.

Les résultats comprennent…

  • D'énormes fichiers CSV remplis d'informations potentiellement sensibles.

Avec ce simple piratage de carte de crédit, une invasion majeure de la vie privée attend de se produire.

  • Fichiers journaux de commerce électronique défectueux.

Ces fichiers journaux de commerce électronique défectueux facilitent la recherche de carte de crédit.

  • Informations sensibles partagées sur des sites de pirates (et même Facebook).

Comment pirater des cartes de crédit est aussi simple que d'utiliser l'hexadécimal.

C'est vraiment effrayant.

Je sais que ce bogue n'inspirera aucune recherche sur la sécurité, mais voilà. Google a fait ce bobo et a même négligé de me répondre. Eh bien, ça arrive. Je n'envie pas les gens de la sécurité au grand G, cependant. Ils doivent avoir beaucoup de choses à surveiller. Je poste ici à propos de ce piratage de numéro de carte de crédit parce que :

  1. C'est un impact relativement faible.
  2. Toute personne intéressée et motivée l'aura déjà compris.
  3. Pour citer Haselton, si les grands acteurs ne prennent pas leurs responsabilités et n'agissent pas sur ces exploits, alors "la bonne chose à faire est de mettre en lumière le problème et d'insister pour qu'ils le résolvent dès que possible".

Cette astuce peut être utilisée pour rechercher des numéros de téléphone, des SSN, des TFN, etc. Et, comme l'a écrit Bennett, ces numéros sont beaucoup plus difficiles à modifier que votre carte de crédit, pour laquelle vous pouvez simplement appeler votre banque et annuler la carte.

Exemples de requêtes

AVERTISSEMENT : Ne saisissez PAS votre propre numéro de carte de crédit dans Google !

Recherchez tout CC PAN commençant par 4060 : 4060000000000000..40609999999999999 ? 0xe6c8c69c9c000..0xe6d753e6ecfff

Quelques numéros de téléphone hongrois du fournisseur 'Telenor' ? Pas de problème : 36200000000..36209999999 ? 0x86db02a00..0x86e48c07f

Recherchez les SSN. Heureusement, ceux-ci ne renvoient pas beaucoup de résultats significatifs : 100000000..999999999 ? 0x5f5e100..0x3b9ac9ff

Il y en a beaucoup, beaucoup plus.

Si vous trouvez quelque chose de très alarmant, ou si vous êtes curieux au sujet du piratage de carte de crédit, veuillez le laisser dans les commentaires ou contactez-moi par e-mail à [email protected] ou sur Twitter à @synsecblog. Appeler la police est généralement inutile dans ces cas, mais cela vaut peut-être la peine d'essayer. Le commerçant ou le fournisseur de la carte est généralement plus désireux de résoudre le problème.

Où aller en partant d'ici

Eh bien, Google doit évidemment résoudre ce problème, éventuellement avec l'aide de grands acteurs comme Visa et Mastercard. En fait, Haselton fournit un certain nombre de suggestions intéressantes dans les deux articles liés ci-dessus.

Ce que vous devez faire, cependant (et pourquoi j'ai écrit ce post), c'est passer le mot. La fraude par carte de crédit est une grande industrie, et une simple prise de conscience peut vous éviter de devenir une victime. De plus, si vous avez un site de commerce électronique ou gérez un traitement de carte de crédit, veuillez vous assurer que vous êtes en sécurité. PCI-DSS est une bonne ligne directrice, mais elle est loin d'être parfaite. De plus, c'est toujours une bonne idée de Google votre site avec la requête avancée "site: mysite.com", à la recherche de numéros sensibles. Il y a une très, très faible chance que vous trouviez quoi que ce soit, mais si vous le faites, vous devez agir immédiatement.

Aussi, un petit conseil amical : vous ne devriez jamais donner vos informations de carte de crédit à qui que ce soit. Mon conseil serait d'utiliser PayPal ou un service similaire dans la mesure du possible. Vous pouvez consulter ces liens pour plus d'informations :

  • Conseils de sécurité pour les cartes de crédit Visa
  • Conseils de sécurité pour les cartes de crédit de Citi

Et quelques conseils généraux : ne téléchargez pas ce que vous n'avez pas demandé, n'ouvrez pas les spams et n'oubliez pas que votre banque ne vous demandera jamais votre mot de passe.

Au fait : si vous pensez qu'il n'y a personne d'assez stupide pour tomber dans le piège de ces techniques de piratage de carte de crédit ou pour divulguer ses informations de carte de crédit sur Internet, jetez un œil à @NeedADebitCard.

Restez en sécurité les gens!