使用過濾器繞過和一些十六進制，被黑的信用卡號碼仍然，仍然可以穀歌

關於信用卡黑客的一句話

如果你認識我，或者讀過我之前的帖子，你就會知道我在加入 Toptal 之前曾在一家非常有趣的公司工作。 在這家公司，我們的支付提供商每天處理的交易量約為 50 萬美元。 我的部分工作是使我們的供應商符合 PCI-DSS，即符合支付卡行業的數據安全標準。

可以肯定地說，這不適合膽小的人。 在這一點上，我對信用卡 (CC)、信用卡黑客和一般網絡安全非常熟悉。 畢竟，我們的工作是保護用戶的數據，防止其被黑客入侵、被盜或被濫用。

當我看到 Bennett Haselton 2007 年關於 Slashdot 的文章：為什麼 CC 號碼仍然那麼容易找到？ 簡而言之，Haselton 能夠通過 Google 找到信用卡號碼，首先通過以“nnnn nnnn”格式搜索卡的前八位數字，然後使用基於號碼範圍的一些高級查詢。 例如，他可以使用“4060000000000000..4060999999999999”從 CHASE（其卡均以 4060 開頭）中查找所有 16 位主帳號 (PAN)。 順便說一句：這裡是發行人 ID 號的完整列表。

當時，我並沒有多想，因為 Google 立即開始過濾 Bennett 使用的查詢類型。 當你試圖用谷歌搜索一個這樣的範圍時，谷歌會提供一個頁面，上面寫著“你是個壞人”。

大約六個月前，在與一位老朋友回憶時，這個信用卡號碼黑客再次出現在腦海中。 不久之後，我發現了一些令人震驚的事情。 不是非常令人擔憂，但肯定是令人擔憂的——所以我通知了谷歌，然後等待。 一個月沒有回應，我再次通知他們無濟於事。

對 Haselton 的舊把戲稍加調整後，我就可以在 Google 上搜索信用卡號、社會保險號和任何其他感興趣的敏感信息。

貝內特

昨天，我的一些朋友（buhera.blog.hu 和 _2501）帶來了一篇更新的 Slashdot 帖子引起了我的注意：信用卡號碼仍然可以在 Google 中使用。

這篇文章的作者，同樣是 Bennett Haselton，他在 2007 年寫了原始文章，聲稱信用卡號碼仍然可以被谷歌搜索。 您不能使用數字範圍查詢技巧，但它仍然可以完成。 您需要對查詢應用特定格式，而不是使用簡單範圍。 類似於：“1234 5678”（注意中間的空格）。 這個查詢有很多命中，但真正感興趣的卻很少。 參賽者中有電話號碼、郵政編碼等。 不是特別令人震驚。 但這裡出現了信用卡黑客轉折。

方法論

我很好奇是否仍然可以像 2007 年那樣在網上獲取信用卡號碼。作為任何優秀的工程師，我通常會使用需要以最精確的方式完美執行的正確解釋和智能計劃來處理事情。 如果您嘗試過這種方法，您可能會知道它可能會失敗——在這種情況下，您的精心計劃和努力將付諸東流。

在 IT 領域，我們有一種過度知識化的傾向，即使它並不完全有必要。 我看到我的朋友和同事使用看似隨機的輸入完全破壞了應用程序。 他們的成功率驚人，他們為此付出的努力接近於零。 那時我才知道要打開一扇門，有時你只需要敲門。

信用卡黑客

上一段巧妙地變相試圖讓我在炫耀我的“精英黑客技能”時看起來不像個白痴。 哎呀。

首先，我嘗試了幾種基於範圍查詢的方法。 然後，我查看了高級查詢以及您在一個小時左右可能想出的幾乎所有內容。 它們都沒有產生顯著的結果。

然後我有了一個瘋狂的想法。

如果過濾引擎和實際後端不匹配怎麼辦？ 如果我從 Google 收到的消息（“你是個壞人”）不是來自後端本身，而是來自 Google 為審查像我這樣的查詢而實施的指定過濾引擎怎麼辦？

從架構的角度來看，這很有意義。 像這樣的錯誤非常普遍——我們一直在 ITSEC 中看到它們，尤其是在 IDS/IPS 解決方案中，而且在常見的軟件中也是如此。 有一個過濾程序可以處理數據，並且只有在它認為數據是可接受/非惡意的情況下才將其提供給後端。 但是，後端和過濾服務器幾乎從不以完全相同的方式解析輸入。 因此，看似有效的輸入可以通過過濾器並在​​後端造成嚴重破壞，從而有效地繞過過濾器。

您通常可以通過以各種編碼提供輸入來觸發此類行為。 例如：不使用十進制數字 (0-9)，如何將它們轉換為十六進制、八進製或二進制？ 好吧，你猜怎麼著……

搜索這個，谷歌會告訴你你是個壞人：“4060000000000000..4060999999999999”

搜索此內容，Google 將很樂意提供：“0xe6c8c69c9c000..0xe6d753e6ecfff”。

您唯一需要做的就是將信用卡號碼從十進制轉換為十六進制。 而已。

結果包括……

• 充滿潛在敏感信息的巨大 CSV 文件。

• 錯誤的電子商務日誌文件。

• 在黑客網站（甚至 Facebook）上共享的敏感信息。

這真是可怕的東西。

我知道這個錯誤不會激發任何安全研究，但你已經知道了。 谷歌製造了這個噓聲，甚至沒有給我回信。 嗯，它發生了。 不過，我並不羨慕大 G 的安保人員。 他們一定有很多東西需要注意。 我在這裡發布有關此信用卡號黑客攻擊的信息，因為：

1. 它的影響相對較小。
2. 任何有興趣和有動力的人現在都會明白這一點。
3. 引用 Haselton 的話，如果大玩家不承擔責任並對這些漏洞採取行動，那麼“正確的做法是闡明問題並堅持盡快解決問題”。

此技巧可用於查找電話號碼、SSN、TFN 等。 而且，正如 Bennett 所寫，這些數字比您的信用卡更難更改，您只需致電銀行並取消信用卡即可。

示例查詢

警告：不要用谷歌搜索你自己的信用卡號！

尋找任何以 4060 開頭的 CC PAN： 4060000000000000..4060999999999999 ？ 0xe6c8c69c9c000..0xe6d753e6ecfff

來自提供商“Telenor”的一些匈牙利電話號碼？ 沒問題： 36200000000..36209999999 ？ 0x86db02a00..0x86e48c07f

尋找 SSN。 幸運的是，這些並沒有返回很多有意義的結果： 100000000..999999999 ？ 0x5f5e100..0x3b9ac9ff

還有很多很多。

如果您發現任何非常令人擔憂的事情，或者如果您對信用卡黑客行為感到好奇，請將其留在評論中或通過電子郵件 [email protected] 或 Twitter 上的@synsecblog 與我聯繫。 在這些情況下，報警通常是徒勞的，但可能值得一試。 給定的商家或卡提供商通常更熱衷於解決問題。

從這往哪兒走

好吧，谷歌顯然必須解決這個問題，可能需要像 Visa 和 Mastercard 這樣的大玩家的幫助。 事實上，Haselton 在上面鏈接的兩篇文章中提供了許多有趣的建議。

但是，您需要做的（以及我寫這篇文章的原因）是傳播信息。 信用卡欺詐是一個大行業，簡單的認識可以使您免於成為受害者。 此外，如果您有電子商務網站或處理任何信用卡處理，請確保您是安全的。 PCI-DSS 是一個很好的指南，但遠非完美。 另外，使用“site:mysite.com”高級查詢來谷歌你的網站總是一個好主意，尋找敏感數字。 你找到任何東西的機會非常非常渺茫——但如果你找到了，你必須立即採取行動。

此外，還有一點友好的建議：您永遠不應該將您的信用卡信息透露給任何人。 我的建議是盡可能使用 PayPal 或類似服務。 您可以查看這些鏈接以獲取更多信息：

• Visa的信用卡安全提示
• 花旗的信用卡安全提示

還有一些一般提示：不要下載你沒有要求的東西，不要打開垃圾郵件，並記住你的銀行永遠不會要求你輸入密碼。

順便說一句：如果您認為沒有人愚蠢到會因這些信用卡黑客技術而墮落或在互聯網上洩露他們的信用卡信息，請查看@NeedADebitCard。

保持安全的人！