Z obejściem filtra i niektórymi szesnastkowymi numerami kart kredytowych, które zostały zhakowane, wciąż można obsługiwać Google

Słowo o hakowaniu kart kredytowych

Jeśli mnie znasz lub czytałeś mój poprzedni post, wiesz, że zanim dołączyłem do Toptal, pracowałem w bardzo interesującej firmie. W tej firmie nasz dostawca usług płatniczych przetwarzał transakcje o wartości około 500 tys. USD dziennie. Częścią mojej pracy było zapewnienie zgodności naszego dostawcy ze standardem PCI-DSS — to znaczy zgodnym z branżą kart płatniczych — standardem bezpieczeństwa danych.

Można śmiało powiedzieć, że nie była to praca dla osób o słabym sercu. W tym momencie jestem dość intymny z kartami kredytowymi (CC), hakowaniem kart kredytowych i ogólnie bezpieczeństwem sieci. W końcu naszym zadaniem była ochrona danych naszych użytkowników, aby zapobiec ich włamaniu, kradzieży lub niewłaściwemu wykorzystaniu.

Możesz sobie wyobrazić moje zdziwienie, gdy zobaczyłem artykuł Bennetta Haseltona z 2007 roku na temat Slashdot: Dlaczego numery CC wciąż są tak łatwe do znalezienia?. Krótko mówiąc, Haselton był w stanie znaleźć numery kart kredytowych za pośrednictwem Google, najpierw wyszukując pierwszych osiem cyfr karty w formacie „nnnn nnnn”, a później używając zaawansowanych zapytań opartych na zakresach numerów. Na przykład, mógłby użyć „4060000000000000..4060999999999999”, aby znaleźć wszystkie 16-cyfrowe Numery Konta Głównego (PAN) z CHASE (którego karty zaczynają się od 4060). Przy okazji: oto pełna lista numerów identyfikacyjnych emitenta.

W tamtym czasie nie myślałem o tym zbyt wiele, ponieważ Google natychmiast zaczął filtrować typy zapytań, których używał Bennett. Kiedy próbowałeś wygooglować taki zakres, Google wyświetlał stronę, która mówiła coś w stylu „Jesteś złą osobą”.

Jakieś sześć miesięcy temu, podczas wspomnień ze starym przyjacielem, ten włamanie na numer karty kredytowej znów przyszedł mi do głowy. Wkrótce odkryłem coś niepokojącego. Nie strasznie niepokojące, ale na pewno niepokojące – więc powiadomiłem Google i czekałem. Po miesiącu bez odpowiedzi powiadomiłem ich ponownie bezskutecznie.

Dzięki drobnym poprawkom starej sztuczki Haseltona udało mi się uzyskać numery kart kredytowych Google, numery ubezpieczenia społecznego i wszelkie inne interesujące informacje.

Bennetta

Wczoraj moi znajomi (buhera.blog.hu i _2501) zwrócili mi uwagę na nowszy post na Slashdot: Credit Card Numbers Still-able Googleable.

Autor artykułu, ponownie Bennett Haselton, który napisał oryginalny artykuł w 2007 roku, twierdzi, że numery kart kredytowych nadal można wyszukiwać w Google. Nie możesz użyć hackowania zapytania zakresu liczb, ale nadal można to zrobić. Zamiast używać prostych zakresów, musisz zastosować do zapytania określone formatowanie. Coś w stylu: „1234 5678” (zwróć uwagę na spację pośrodku). Dla tego zapytania pojawia się wiele trafień, ale bardzo niewiele jest rzeczywiście interesujących. Wśród uczestników są numery telefonów, kody pocztowe i tym podobne. Niezbyt niepokojące. Ale tutaj pojawia się zwrot akcji z kartą kredytową.

Metodologia

Byłem ciekaw, czy nadal było możliwe uzyskanie przez Internet numerów kart kredytowych w taki sposób, w jaki mogliśmy w 2007 roku. Jak każdy dobry inżynier, zwykle podchodzę do rzeczy za pomocą odpowiednio skonstruowanego i inteligentnego planu, który musi być perfekcyjnie wykonany z najwyższą precyzją. Jeśli wypróbowałeś tę metodę, możesz wiedzieć, że może się to bardzo nie udać — w takim przypadku twoje staranne planowanie i wysiłek pójdzie na marne.

W IT mamy tendencję do nadmiernej intelektualizacji, nawet jeśli nie jest to dokładnie uzasadnione. Widziałem, jak moi przyjaciele i koledzy kompletnie psują aplikacje, używając pozornie losowych danych wejściowych. Ich wskaźnik sukcesu był oszałamiający, a wysiłek, jaki w to włożyli, był bliski zeru. Wtedy nauczyłem się, że aby otworzyć drzwi, czasami wystarczy zapukać.

Hack karty kredytowej

Poprzedni akapit był sprytnie zakamuflowaną próbą sprawienia, bym wyglądał jak mniej idiota, kiedy popisuję się swoimi „elitarnymi umiejętnościami hakerskimi”. Ups.

Najpierw wypróbowałem kilka podejść opartych na zapytaniach zakresowych. Następnie spojrzałem na zaawansowane zapytania i prawie wszystko, co możesz wymyślić za mniej więcej godzinę. Żaden z nich nie przyniósł znaczących rezultatów.

A potem wpadłem na szalony pomysł.

Co by było, gdyby istniała niezgodność między silnikiem filtrującym a rzeczywistym zapleczem? Co by było, gdyby wiadomość, którą otrzymałem od Google („Jesteś złą osobą”), nie pochodziła z samego zaplecza, ale z wyznaczonego silnika filtrującego, który Google zaimplementował do cenzurowania zapytań takich jak moje?

Z architektonicznego punktu widzenia miałoby to sens. Takie błędy są dość powszechne — cały czas widzimy je w ITSEC, szczególnie w rozwiązaniach IDS/IPS, ale także w powszechnym oprogramowaniu. Istnieje procedura filtrowania, która przetwarza dane i przekazuje je do zaplecza tylko wtedy, gdy uzna, że ​​dane są akceptowalne/niezłośliwe. Jednak serwer zaplecza i serwer filtrujący prawie nigdy nie analizują danych wejściowych w dokładnie ten sam sposób. W ten sposób pozornie prawidłowe dane wejściowe mogą przejść przez filtr i siać spustoszenie na zapleczu, skutecznie omijając filtr.

Zwykle możesz wywołać tego typu zachowanie, wprowadzając dane wejściowe w różnych kodowaniach. Na przykład: zamiast używać liczb dziesiętnych (0-9), co powiesz na konwersję ich na szesnastkowe, ósemkowe lub binarne? Zastanów się…

Wyszukaj to, a Google powie Ci, że jesteś złą osobą: „40600000000000000..4060999999999999”

Wyszukaj to, a Google z przyjemnością zobowiąże: „0xe6c8c69c9c000..0xe6d753e6ecfff”.

Jedyne, co musisz zrobić, to przekonwertować numery kart kredytowych z dziesiętnych na szesnastkowe. Otóż ​​to.

Wyniki obejmują…

• Ogromne pliki CSV wypełnione potencjalnie poufnymi informacjami.

• Wadliwe pliki dziennika handlu elektronicznego.

• Poufne informacje udostępniane na stronach hakerskich (a nawet na Facebooku).

To naprawdę przerażające rzeczy.

Wiem, że ten błąd nie zainspiruje żadnych badań nad bezpieczeństwem, ale masz go. Google zrobiło to boo-boo i zaniedbało nawet odpisać do mnie. Cóż, zdarza się. Jednak nie zazdroszczę ochroniarzom z dużego G. Muszą mieć dużo rzeczy, na które muszą zwrócić uwagę. Piszę o tym włamaniu na numer karty kredytowej tutaj, ponieważ:

1. Ma stosunkowo niewielki wpływ.
2. Każdy, kto jest zainteresowany i zmotywowany, już to zrozumiał.
3. Cytując Haseltona, jeśli wielcy gracze nie biorą na siebie odpowiedzialności i nie działają w związku z tymi exploitami, to „właściwą rzeczą jest rzucić światło na problem i nalegać, aby naprawili go tak szybko, jak to możliwe”.

Ta sztuczka może być wykorzystana do wyszukiwania numerów telefonów, numerów SSN, TFN i innych. I, jak napisał Bennett, te numery są znacznie trudniejsze do zmiany niż Twoja karta kredytowa, po którą możesz po prostu zadzwonić do swojego banku i anulować kartę.

Przykładowe zapytania

OSTRZEŻENIE: NIE używaj pełnego numeru karty kredytowej w Google!

Poszukaj dowolnego CC PAN zaczynającego się od 4060: 4060000000000000..4060999999999999 ? 0xe6c8c69c9c000..0xe6d753e6ecfff

Jakieś węgierskie numery telefonów od operatora „Telenor”? Nie ma problemu: 36200000000..36209999999 ? 0x86db02a00..0x86e48c07f

Poszukaj numerów SSN. Na szczęście nie zwracają one wielu znaczących wyników: 100000000..999999999 ? 0x5f5e100..0x3b9ac9ff

Jest ich wiele, wiele więcej.

Jeśli znajdziesz coś bardzo niepokojącego lub jesteś ciekaw włamań na karty kredytowe, zostaw to w komentarzach lub skontaktuj się ze mną przez e-mail na [email protected] lub na Twitterze pod adresem @synsecblog. W takich przypadkach wezwanie policji jest zwykle daremne, ale warto spróbować. Dany sprzedawca lub dostawca karty zazwyczaj chętniej zajmuje się tym problemem.

Gdzie iść stąd?

Cóż, Google oczywiście musi to naprawić, być może z pomocą dużych graczy, takich jak Visa i Mastercard. W rzeczywistości Haselton przedstawia szereg interesujących sugestii w dwóch artykułach, do których linki znajdują się powyżej.

Jednak to, co musisz zrobić (i dlaczego napisałem ten post), to rozpowszechniać informacje. Oszustwa związane z kartami kredytowymi to wielka branża, a zwykła świadomość może uchronić Cię przed staniem się ofiarą. Ponadto, jeśli masz witrynę e-commerce lub zajmujesz się przetwarzaniem kart kredytowych, upewnij się, że jesteś bezpieczny. PCI-DSS to dobra wytyczna, ale daleka od ideału. Ponadto zawsze dobrze jest wyszukać w Google swoją witrynę za pomocą zaawansowanego zapytania „site:mojawitryna.com” w poszukiwaniu poufnych liczb. Jest bardzo, bardzo nikła szansa, że ​​coś znajdziesz, ale jeśli to zrobisz, musisz działać natychmiast.

Trochę przyjacielskiej rady: Nigdy nie powinieneś nikomu podawać informacji o swojej karcie kredytowej. Radzę korzystać z PayPala lub podobnej usługi, kiedy tylko jest to możliwe. Możesz sprawdzić te linki, aby uzyskać więcej informacji:

• Wskazówki dotyczące bezpieczeństwa kart kredytowych Visa
• Wskazówki Citi dotyczące bezpieczeństwa kart kredytowych

I kilka ogólnych wskazówek: nie pobieraj rzeczy, o które nie prosiłeś, nie otwieraj spamu i pamiętaj, że Twój bank nigdy nie poprosi o podanie hasła.

Przy okazji: jeśli uważasz, że nie ma nikogo na tyle głupiego, by dać się nabrać na te techniki hakowania kart kredytowych lub ujawnić informacje o swojej karcie kredytowej w Internecie, zajrzyj na @NeedADebitCard.

Bądźcie bezpieczni ludzie!