Dengan Bypass Filter dan Beberapa Heksadesimal, Nomor Kartu Kredit yang Diretas Masih, Masih Bisa Google

Sepatah Kata tentang Peretasan Kartu Kredit

Jika Anda mengenal saya, atau telah membaca posting saya sebelumnya, Anda tahu bahwa saya bekerja di sebuah perusahaan yang sangat menarik sebelum bergabung dengan Toptal. Di perusahaan ini, penyedia pembayaran kami memproses transaksi sekitar $500rb per hari. Bagian dari pekerjaan saya adalah membuat penyedia kami sesuai dengan PCI-DSS—yaitu, sesuai dengan Industri Kartu Pembayaran – Standar Keamanan Data.

Aman untuk mengatakan bahwa ini bukan pekerjaan untuk orang yang lemah hati. Pada titik ini, saya cukup akrab dengan Kartu Kredit (CC), peretasan Kartu Kredit, dan keamanan web secara umum. Bagaimanapun, tugas kami adalah melindungi data pengguna kami, untuk mencegahnya diretas, dicuri, atau disalahgunakan.

Anda dapat membayangkan keterkejutan saya ketika saya melihat artikel Bennett Haselton tahun 2007 di Slashdot: Mengapa Nomor CC Masih Sangat Mudah Ditemukan?. Singkatnya, Haselton dapat menemukan nomor Kartu Kredit melalui Google, pertama dengan mencari delapan digit pertama kartu dalam format “nnnn nnnn”, dan kemudian menggunakan beberapa kueri lanjutan yang dibuat berdasarkan rentang angka. Misalnya, dia dapat menggunakan “40600000000000000..4060999999999999” untuk menemukan 16 digit Nomor Rekening Utama (PAN) dari CHASE (yang semua kartunya dimulai dengan 4060). Omong-omong: inilah daftar lengkap nomor ID Penerbit.

Saat itu, saya tidak terlalu memikirkannya, karena Google segera mulai memfilter jenis kueri yang digunakan Bennett. Ketika Anda mencoba Google rentang seperti itu, Google akan menyajikan halaman yang mengatakan sesuatu di sepanjang baris "Anda orang jahat".

Sekitar enam bulan yang lalu, saat bernostalgia dengan seorang teman lama, peretasan nomor kartu kredit ini muncul lagi di pikiran. Segera setelah itu, saya menemukan sesuatu yang mengkhawatirkan. Tidak terlalu mengkhawatirkan, tetapi tentu saja mengkhawatirkan—jadi saya memberi tahu Google, dan menunggu. Setelah sebulan tanpa tanggapan, saya memberi tahu mereka lagi tetapi tidak berhasil.

Dengan sedikit perubahan pada trik lama Haselton, saya dapat mengetahui nomor Kartu Kredit Google, nomor Jaminan Sosial, dan informasi sensitif lainnya yang menarik.

Bennett

Kemarin, beberapa teman saya (buhera.blog.hu dan _2501) membawa posting Slashdot yang lebih baru untuk saya perhatikan: Nomor Kartu Kredit Masih Bisa Google.

Penulis artikel, sekali lagi Bennett Haselton, yang menulis artikel asli pada tahun 2007, mengklaim bahwa nomor kartu kredit masih dapat dicari di Google. Anda tidak dapat menggunakan peretasan kueri rentang angka, tetapi itu masih bisa dilakukan. Alih-alih menggunakan rentang sederhana, Anda perlu menerapkan pemformatan khusus ke kueri Anda. Sesuatu seperti: “1234 5678” (perhatikan spasi di tengah). Banyak klik yang muncul untuk kueri ini, tetapi sangat sedikit yang benar-benar menarik. Di antara para kontestan adalah nomor telepon, kode pos, dan semacamnya. Tidak terlalu mengkhawatirkan. Tapi inilah twist hack kartu kredit.

Metodologi

Saya ingin tahu apakah masih mungkin untuk mendapatkan nomor kartu kredit secara online seperti yang kita bisa lakukan pada tahun 2007. Sebagai Insinyur yang baik, saya biasanya melakukan pendekatan dengan menggunakan rencana yang ditafsirkan dengan benar dan cerdas yang perlu dieksekusi dengan sempurna dengan presisi tertinggi. Jika Anda telah mencoba metode itu, Anda mungkin tahu bahwa itu bisa sangat gagal—dalam hal ini perencanaan dan upaya Anda yang cermat akan sia-sia.

Dalam TI, kita memiliki kecenderungan untuk melakukan intelektualisasi yang berlebihan, bahkan ketika hal itu tidak sepenuhnya dibenarkan. Saya telah melihat teman dan kolega saya benar-benar merusak aplikasi menggunakan input yang tampaknya acak. Tingkat keberhasilan mereka sangat menakjubkan dan upaya yang mereka lakukan mendekati nol. Saat itulah saya belajar bahwa untuk membuka pintu, terkadang Anda hanya perlu mengetuk.

Peretasan Kartu Kredit

Paragraf sebelumnya adalah upaya yang disamarkan dengan cerdik untuk membuat saya terlihat seperti orang bodoh ketika saya memamerkan "keterampilan peretasan elit" saya. Ups.

Pertama, saya mencoba beberapa pendekatan berbasis kueri rentang. Kemudian, saya melihat kueri lanjutan dan hampir semua hal yang mungkin Anda temukan dalam satu jam atau lebih. Tak satu pun dari mereka memberikan hasil yang signifikan.

Dan kemudian aku punya ide gila.

Bagaimana jika ada ketidakcocokan antara mesin penyaringan dan back-end yang sebenarnya? Bagaimana jika pesan yang saya dapatkan dari Google (“Anda adalah orang jahat”) bukan dari back-end itu sendiri, melainkan dari mesin pemfilteran khusus yang telah diterapkan Google untuk menyensor kueri seperti milik saya?

Ini akan sangat masuk akal dari perspektif arsitektur. Dan bug seperti itu cukup umum—kami selalu melihatnya di ITSEC, terutama di solusi IDS/IPS, tetapi juga di perangkat lunak umum. Ada prosedur pemfilteran yang memproses data dan hanya memberikannya ke back-end jika menurutnya data tersebut dapat diterima/tidak berbahaya. Namun, back-end dan server pemfilteran hampir tidak pernah mengurai input dengan cara yang persis sama. Dengan demikian, input yang tampaknya valid dapat melewati filter dan mendatangkan malapetaka di back-end, secara efektif melewati filter.

Anda biasanya dapat memicu jenis perilaku ini dengan memberikan masukan Anda dalam berbagai penyandian. Misalnya: alih-alih menggunakan angka desimal (0-9), bagaimana dengan mengubahnya menjadi heksadesimal atau oktal atau biner? Nah, coba tebak…

Cari ini dan Google akan memberi tahu Anda bahwa Anda adalah orang jahat: “406000000000000000..4060999999999999”

Cari ini dan Google akan dengan senang hati mewajibkan: “0xe6c8c69c9c000..0xe6d753e6effff”.

Satu-satunya hal yang perlu Anda lakukan adalah mengubah nomor kartu kredit dari desimal ke heksadesimal. Itu dia.

Hasilnya antara lain…

• File CSV yang sangat besar berisi informasi yang berpotensi sensitif.

• File log e-niaga yang salah.

• Informasi sensitif yang dibagikan di situs peretas (dan bahkan Facebook).

Ini benar-benar hal yang menakutkan.

Saya tahu bug ini tidak akan menginspirasi penelitian keamanan apa pun, tetapi begitulah. Google membuat boo-boo ini dan bahkan mengabaikan untuk membalas saya. Yah, itu terjadi. Saya tidak iri dengan petugas keamanan di G besar. Mereka pasti memiliki banyak hal yang harus diperhatikan. Saya memposting tentang peretasan nomor kartu kredit ini di sini karena:

1. Dampaknya relatif rendah.
2. Siapapun yang tertarik dan termotivasi akan mengetahui hal ini sekarang.
3. Mengutip Haselton, jika para pemain besar tidak mengambil tanggung jawab dan bertindak atas eksploitasi ini, maka "hal yang benar untuk dilakukan adalah menyoroti masalah tersebut dan bersikeras bahwa mereka memperbaikinya sesegera mungkin".

Trik ini dapat digunakan untuk mencari nomor telepon, SSN, TFN, dan lainnya. Dan, seperti yang ditulis Bennett, angka-angka ini jauh lebih sulit diubah daripada Kartu Kredit Anda, di mana Anda cukup menelepon bank Anda dan membatalkan kartunya.

Contoh Pertanyaan

PERINGATAN: JANGAN Google nomor kartu kredit Anda sendiri secara lengkap!

Cari CC PAN apa saja yang dimulai dengan 4060: 40600000000000000..4060999999999999 ? 0xe6c8c69c9c000..0xe6d753e6ecfff

Beberapa nomor telepon Hongaria dari penyedia 'Telenor'? Tidak masalah: 36200000000..3620999999 ? 0x86db02a00..0x86e48c07f

Cari SSN. Untungnya, ini tidak mengembalikan banyak hasil yang berarti: 100000000..999999999 ? 0x5f5e100..0x3b9ac9ff

masih ada banyak, banyak sekali.

Jika Anda menemukan sesuatu yang sangat mengkhawatirkan, atau jika Anda ingin tahu tentang peretasan kartu kredit, silakan tinggalkan di komentar atau hubungi saya melalui email di [email protected] atau di Twitter di @synsecblog. Memanggil polisi biasanya sia-sia dalam kasus ini, tetapi mungkin patut dicoba. Pedagang yang diberikan atau penyedia kartu biasanya lebih tertarik untuk mengatasi masalah ini.

Ke mana harus pergi dari sini?

Yah, Google jelas harus memperbaiki ini, mungkin dengan bantuan pemain besar seperti Visa dan Mastercard. Bahkan, Haselton memberikan sejumlah saran menarik dalam dua artikel yang ditautkan di atas.

Apa yang perlu Anda lakukan, bagaimanapun (dan mengapa saya menulis posting ini), adalah menyebarkan berita. Penipuan Kartu Kredit adalah industri besar, dan kesadaran sederhana dapat menyelamatkan Anda dari menjadi korban. Selanjutnya, jika Anda memiliki situs e-niaga atau menangani pemrosesan kartu kredit, pastikan Anda aman. PCI-DSS adalah pedoman yang baik, tetapi jauh dari sempurna. Plus, selalu merupakan ide bagus untuk Google situs Anda dengan kueri lanjutan "situs:situssaya.com", mencari nomor sensitif. Ada kemungkinan yang sangat, sangat kecil bahwa Anda akan menemukan sesuatu—tetapi jika Anda menemukannya, Anda harus segera bertindak.

Juga, sedikit saran ramah: Anda tidak boleh memberikan informasi kartu kredit Anda kepada siapa pun. Saran saya adalah menggunakan PayPal atau layanan serupa bila memungkinkan. Anda dapat memeriksa tautan ini untuk informasi lebih lanjut:

• Kiat keamanan kartu kredit Visa
• Kiat keamanan kartu kredit Citi

Dan beberapa tip umum: jangan mengunduh hal-hal yang tidak Anda minta, jangan buka email spam, dan ingat bahwa bank Anda tidak akan pernah meminta kata sandi Anda.

Omong-omong: Jika menurut Anda tidak ada orang yang cukup bodoh untuk jatuh ke dalam teknik peretasan kartu kredit ini atau memberikan informasi kartu kredit mereka di internet, lihat @NeedADebitCard.

Tetap aman orang!