ด้วยการบายพาสตัวกรองและเลขฐานสิบหกบางส่วน หมายเลขบัตรเครดิตที่ถูกแฮ็กจึงยังคงอยู่ ยังคงเป็น Google ได้
เผยแพร่แล้ว: 2022-03-11คำพูดเกี่ยวกับการแฮ็กบัตรเครดิต
ถ้าคุณรู้จักฉัน หรือเคยอ่านโพสต์ก่อนหน้านี้ของฉัน คุณจะรู้ว่าฉันทำงานให้กับบริษัทที่น่าสนใจมากก่อนที่จะเข้าร่วม Toptal ที่บริษัทนี้ ผู้ให้บริการชำระเงินของเราดำเนินการธุรกรรมในละแวกใกล้เคียง $500k ต่อวัน งานส่วนหนึ่งของฉันคือการทำให้ผู้ให้บริการของเราปฏิบัติตามมาตรฐาน PCI-DSS ซึ่งก็คือ สอดคล้องกับอุตสาหกรรมบัตรชำระเงิน – มาตรฐานความปลอดภัยของข้อมูล
พูดได้อย่างปลอดภัยว่านี่ไม่ใช่งานสำหรับคนใจเสาะ ณ จุดนี้ ฉันค่อนข้างสนิทสนมกับบัตรเครดิต (CCs) การแฮ็กบัตรเครดิตและการรักษาความปลอดภัยเว็บโดยทั่วไป ท้ายที่สุด งานของเราคือปกป้องข้อมูลของผู้ใช้ ป้องกันไม่ให้ถูกแฮ็ก ขโมย หรือนำไปใช้ในทางที่ผิด
คุณสามารถจินตนาการถึงความประหลาดใจของฉันเมื่อฉันเห็นบทความ 2007 ของ Bennett Haselton เกี่ยวกับ Slashdot: ทำไมหมายเลข CC ยังหาง่ายมาก กล่าวโดยย่อ Haselton สามารถค้นหาหมายเลขบัตรเครดิตผ่านทาง Google ได้ ประการแรกโดยการค้นหาตัวเลขแปดหลักแรกของบัตรในรูปแบบ "nnnn nnnn" และต่อมาใช้ข้อความค้นหาขั้นสูงที่สร้างขึ้นจากช่วงตัวเลข ตัวอย่างเช่น เขาสามารถใช้ “4060000000000000..4060999999999999” เพื่อค้นหาหมายเลขบัญชีหลัก (PAN) 16 หลักทั้งหมดจาก CHASE (ซึ่งการ์ดทั้งหมดขึ้นต้นด้วย 4060) อีกอย่าง: นี่คือรายการหมายเลขรหัสผู้ออกทั้งหมด
ตอนนั้นฉันไม่ได้คิดอะไรมาก เนื่องจาก Google เริ่มกรองประเภทการสืบค้นที่ Bennett ใช้อยู่ทันที เมื่อคุณลองใช้ Google ในลักษณะนั้น Google จะแสดงหน้าที่พูดอะไรบางอย่างเกี่ยวกับ "คุณเป็นคนไม่ดี"
ประมาณ 6 เดือนที่แล้ว ขณะระลึกถึงเพื่อนเก่า แฮ็คหมายเลขบัตรเครดิตก็ผุดขึ้นมาอีกครั้ง ไม่นานหลังจากนั้น ฉันพบบางสิ่งที่น่าตกใจ ไม่น่ากลัวมาก แต่น่าตกใจอย่างยิ่ง ดังนั้นฉันจึงแจ้ง Google และรอ หลังจากผ่านไปหนึ่งเดือนโดยไม่มีการตอบกลับ ฉันก็แจ้งพวกเขาอีกครั้งว่าไม่มีประโยชน์
ด้วยเคล็ดลับเล็กๆ น้อยๆ ของ Haselton ฉันจึงสามารถดูหมายเลขบัตรเครดิต Google หมายเลขประกันสังคม และข้อมูลสำคัญอื่นๆ ที่น่าสนใจได้
เบนเน็ตต์
เมื่อวาน เพื่อนของฉันบางคน (buhera.blog.hu และ _2501) ได้แจ้งโพสต์ Slashdot ล่าสุดให้ฉันทราบ: หมายเลขบัตรเครดิตยัง Google ได้
ผู้เขียนบทความ อีกครั้งคือ Bennett Haselton ผู้เขียนบทความต้นฉบับในปี 2550 อ้างว่าหมายเลขบัตรเครดิตยังสามารถเป็น Googled ได้ คุณไม่สามารถใช้แฮ็คแบบสอบถามช่วงตัวเลขได้ แต่ก็ยังสามารถทำได้ แทนที่จะใช้ช่วงอย่างง่าย คุณต้องใช้การจัดรูปแบบเฉพาะกับคิวรีของคุณ บางอย่างเช่น: “1234 5678” (สังเกตช่องว่างตรงกลาง) มี Hit เกิดขึ้นมากมายสำหรับข้อความค้นหานี้ แต่มีเพียงไม่กี่รายการที่สนใจจริงๆ ผู้เข้าแข่งขันได้แก่ หมายเลขโทรศัพท์ รหัสไปรษณีย์ และอื่นๆ ไม่น่ากลัวมาก แต่นี่คือการบิดแฮ็คบัตรเครดิต
ระเบียบวิธี
ฉันอยากรู้ว่ายังคงสามารถรับหมายเลขบัตรเครดิตทางออนไลน์อย่างที่เราทำได้ในปี 2550 หรือไม่ ในฐานะวิศวกรที่ดี ฉันมักจะเข้าหาสิ่งต่าง ๆ โดยใช้แผนที่ชาญฉลาดและตีความอย่างเหมาะสมซึ่งจำเป็นต้องดำเนินการได้อย่างสมบูรณ์แบบด้วยความแม่นยำสูงสุด หากคุณได้ลองใช้วิธีการดังกล่าวแล้ว คุณอาจรู้ว่าวิธีนี้อาจล้มเหลวได้ยากมาก ในกรณีนี้ การวางแผนและความพยายามอย่างรอบคอบของคุณก็สูญเปล่า
ในด้านไอที เรามีแนวโน้มที่จะใช้สติปัญญามากเกินไป แม้ว่าจะไม่ได้รับการรับรองอย่างแน่นอนก็ตาม ฉันเคยเห็นเพื่อนและเพื่อนร่วมงานของฉันทำลายแอปพลิเคชันโดยสิ้นเชิงโดยใช้อินพุตที่ดูเหมือนสุ่ม อัตราความสำเร็จของพวกเขานั้นน่าทึ่งและความพยายามที่พวกเขาทำลงไปนั้นแทบจะเป็นศูนย์ นั่นคือตอนที่ฉันเรียนรู้ที่จะเปิดประตู บางครั้งคุณก็แค่ต้องเคาะประตู
การแฮ็กบัตรเครดิต
ย่อหน้าก่อนหน้านี้เป็นการพยายามปลอมแปลงอย่างชาญฉลาดเพื่อทำให้ฉันดูเหมือนคนงี่เง่าน้อยลงเมื่อฉันแสดง "ทักษะการแฮ็กที่ยอดเยี่ยม" ของฉัน อ๊ะ.
อันดับแรก ฉันได้ลองใช้วิธีการแบบอิงตามช่วงการสืบค้นหลายวิธี จากนั้น ฉันได้ดูการสืบค้นข้อมูลขั้นสูงและเกือบทุกอย่างที่คุณอาจได้รับภายในหนึ่งชั่วโมงหรือประมาณนั้น ไม่มีสิ่งใดให้ผลลัพธ์ที่มีนัยสำคัญ
แล้วฉันก็มีความคิดบ้าๆ
จะเกิดอะไรขึ้นถ้ามีการไม่ตรงกันระหว่างกลไกการกรองกับส่วนหลังจริง จะเกิดอะไรขึ้นหากข้อความที่ฉันได้รับจาก Google ("คุณเป็นคนไม่ดี") ไม่ได้มาจากส่วนแบ็คเอนด์ แต่มาจากกลไกการกรองที่กำหนด Google ได้ดำเนินการเพื่อเซ็นเซอร์ข้อความค้นหาเช่นของฉัน
มันจะสมเหตุสมผลมากจากมุมมองทางสถาปัตยกรรม และบั๊กเช่นนี้พบได้ทั่วไป—เราเห็นมันใน ITSEC ตลอดเวลา โดยเฉพาะอย่างยิ่งในโซลูชัน IDS/IPS แต่ยังพบในซอฟต์แวร์ทั่วไปด้วย มีขั้นตอนการกรองที่ประมวลผลข้อมูลและมอบให้กับส่วนหลังเท่านั้นหากคิดว่าข้อมูลเป็นที่ยอมรับ/ไม่เป็นอันตราย อย่างไรก็ตาม แบ็คเอนด์และเซิร์ฟเวอร์การกรองแทบไม่เคยแยกวิเคราะห์อินพุตในลักษณะเดียวกันทุกประการ ดังนั้น ข้อมูลที่ดูเหมือนถูกต้องสามารถผ่านตัวกรองและสร้างความหายนะให้กับแบ็คเอนด์ โดยข้ามตัวกรองได้อย่างมีประสิทธิภาพ
โดยปกติแล้ว คุณสามารถทริกเกอร์พฤติกรรมประเภทนี้ได้โดยการป้อนข้อมูลของคุณในการเข้ารหัสต่างๆ ตัวอย่างเช่น แทนที่จะใช้ตัวเลขทศนิยม (0-9) แล้วแปลงเป็นเลขฐานสิบหกหรือฐานแปดหรือไบนารีล่ะ เดาสิว่า...
ค้นหาสิ่งนี้และ Google จะบอกคุณว่าคุณเป็นคนไม่ดี: “4060000000000000..4060999999999999”
ค้นหาสิ่งนี้และ Google ยินดีที่จะบังคับ: “0xe6c8c69c9c000..0xe6d753e6ecfff”
สิ่งเดียวที่คุณต้องทำคือแปลงหมายเลขบัตรเครดิตจากทศนิยมเป็นเลขฐานสิบหก แค่นั้นแหละ.
ผลลัพธ์ได้แก่…
- ไฟล์ CSV ขนาดใหญ่ที่เต็มไปด้วยข้อมูลที่ละเอียดอ่อน
- ไฟล์บันทึกอีคอมเมิร์ซผิดพลาด
- ข้อมูลที่ละเอียดอ่อนที่แชร์บนไซต์แฮ็กเกอร์ (และแม้แต่ Facebook)
มันเป็นเรื่องที่น่ากลัวจริงๆ
ฉันรู้ว่าข้อผิดพลาดนี้จะไม่สร้างแรงบันดาลใจให้การวิจัยด้านความปลอดภัยใดๆ แต่คุณมีมัน Google สร้างเรื่องอื้อฉาวนี้และละเลยที่จะเขียนถึงฉันกลับ มันเกิดขึ้น ฉันไม่อิจฉาเจ้าหน้าที่รักษาความปลอดภัยที่บิ๊กจี พวกเขาต้องมีสิ่งต่างๆ มากมายให้มองหา ฉันกำลังโพสต์เกี่ยวกับการแฮ็กหมายเลขบัตรเครดิตที่นี่เพราะ:
- มีผลกระทบค่อนข้างต่ำ
- ใครสนใจและมีแรงจูงใจจะได้คิดออกตอนนี้
- เพื่ออ้างอิงจาก Haselton หากผู้เล่นรายใหญ่ไม่รับผิดชอบและดำเนินการกับการหาประโยชน์เหล่านี้ “สิ่งที่ถูกต้องที่ต้องทำคือฉายแสงในปัญหาและยืนยันว่าพวกเขาจะแก้ไขโดยเร็วที่สุด”
เคล็ดลับนี้สามารถใช้เพื่อค้นหาหมายเลขโทรศัพท์, SSN, TFN และอื่นๆ และอย่างที่ Bennett เขียนไว้ ตัวเลขเหล่านี้เปลี่ยนยากกว่าบัตรเครดิตมาก ซึ่งคุณสามารถโทรไปที่ธนาคารและยกเลิกบัตรได้
แบบสอบถามตัวอย่าง
คำเตือน: อย่า Google หมายเลขบัตรเครดิตของคุณเต็ม!
มองหา CC PAN ที่ขึ้นต้นด้วย 4060: 4060000000000000..4060999999999999 หรือไม่ 0xe6c8c69c9c000..0xe6d753e6ecfff
หมายเลขโทรศัพท์ฮังการีบางส่วนจากผู้ให้บริการ 'เทเลนอร์' ไม่มีปัญหา: 36200000000..36209999999 ? 0x86db02a00..0x86e48c07f
ค้นหา SSN โชคดีที่สิ่งเหล่านี้ไม่ส่งคืนผลลัพธ์ที่มีความหมายมากมาย: 100000000..999999999 ? 0x5f5e10..0x3b9ac9ff
มีอีกมาก มีอีกมาก
หากคุณพบสิ่งที่น่าตกใจมาก หรือหากคุณอยากรู้เกี่ยวกับการแฮ็กบัตรเครดิต โปรดแสดงความคิดเห็นหรือติดต่อฉันทางอีเมลที่ [email protected] หรือบน Twitter ที่ @synsecblog การโทรหาตำรวจมักจะไร้ประโยชน์ในกรณีเหล่านี้ แต่อาจคุ้มค่าที่จะลอง ผู้ค้าหรือผู้ให้บริการบัตรที่ระบุมักจะกระตือรือร้นที่จะแก้ไขปัญหานี้มากกว่า
จะไปจากที่นี่ที่ไหน
แน่นอนว่า Google ต้องแก้ไขปัญหานี้ โดยอาจได้รับความช่วยเหลือจากผู้เล่นรายใหญ่อย่าง Visa และ Mastercard อันที่จริง Haselton ได้เสนอคำแนะนำที่น่าสนใจจำนวนหนึ่งไว้ในบทความสองบทความที่ลิงก์ด้านบนนี้
อย่างไรก็ตาม สิ่งที่คุณต้องทำ (และทำไมฉันถึงเขียนโพสต์นี้) ได้กระจายไปทั่ว การฉ้อโกงบัตรเครดิตเป็นอุตสาหกรรมขนาดใหญ่ และการตระหนักรู้อย่างง่ายๆ สามารถช่วยคุณไม่ให้ตกเป็นเหยื่อ นอกจากนี้ หากคุณมีไซต์อีคอมเมิร์ซหรือจัดการการประมวลผลบัตรเครดิตใดๆ โปรดตรวจสอบให้แน่ใจว่าคุณปลอดภัย PCI-DSS เป็นแนวทางที่ดี แต่ยังห่างไกลจากความสมบูรณ์แบบ นอกจากนี้ ยังเป็นความคิดที่ดีเสมอที่จะให้ Google เว็บไซต์ของคุณด้วยข้อความค้นหาขั้นสูง “site:mysite.com” โดยมองหาตัวเลขที่ละเอียดอ่อน มีโอกาสน้อยมากที่คุณจะพบทุกสิ่ง—แต่หากคุณพบ คุณต้องดำเนินการทันที
คำแนะนำที่เป็นมิตรเล็กน้อย: คุณ ไม่ ควรให้ข้อมูลบัตรเครดิตของคุณกับใคร คำแนะนำของฉันคือให้ใช้ PayPal หรือบริการที่คล้ายกันทุกครั้งที่ทำได้ คุณสามารถตรวจสอบลิงก์เหล่านี้สำหรับข้อมูลเพิ่มเติม:
- เคล็ดลับความปลอดภัยของบัตรเครดิตวีซ่า
- เคล็ดลับความปลอดภัยบัตรเครดิตของ Citi
และเคล็ดลับทั่วไปสองสามข้อ: อย่าดาวน์โหลดสิ่งที่คุณไม่ได้ขอ อย่าเปิดอีเมลขยะ และจำไว้ว่าธนาคารของคุณจะไม่ถามรหัสผ่านของคุณ
โดยวิธีการ: หากคุณคิดว่าไม่มีใครโง่พอที่จะตกหลุมรักเทคนิคการแฮ็กบัตรเครดิตเหล่านี้หรือให้ข้อมูลบัตรเครดิตบนอินเทอร์เน็ตลองดูที่ @NeedADebitCard
อยู่อย่างปลอดภัยผู้คน!