Информационная безопасность

индекс

289,89

Взломан сайт Интернет-магазина Symantec

Softpedia.com сообщает о взломе интернет-магазина Symantec. Румынский хакер по прозвищу Unu (известный ранее по взлому американской версии Интернет-магазина ЛК и BitDefender) на этот раз использовал инъекцию SQL-запроса в БД вебсайта pcd.symantec.com.

Unu смог достаточно легко добраться до таблицы в БД, связанной с Интернет-магазином вендора. Там его внимание привлекло наличие раздела «PaymentInformationInfo», в котором содержались адреса, данные по кредитным картам (месяц и год окончания карты, номер, тип, адреса почты, имена и фамилии владельцев, секретный код и так далее).

Кроме того, он также получил доступ к базе, в которой хранились логины и пароли посетителей сайта, включая информацию о покупках и выданных ключах на продукты.

+76

25 ноября 2009, 12:07

mdemidov

комментарии (96)

+22

p1xel 25 ноября 2009, 12:10 #

и эти люди делают антивирусы…

–1

vital 25 ноября 2009, 12:23 # ↑

и эти люди зачем-то делают свою процессинговую систему. Вы это хотели сказать?

–17

stampoon 25 ноября 2009, 12:34 # ↑

и много этими «антивирусами» народу пользуется?

Dexter_Holland 25 ноября 2009, 12:39 # ↑

Будете удивлены, узнав.

–7

stampoon 25 ноября 2009, 14:15 # ↑

15% — это не так уж и много.
www.antivirus.ru/antivirus.html

GreenDay 25 ноября 2009, 14:25 # ↑

Ммм… 2005 год, свежачок. А скиньте нам статистику по 2001 году, было бы интересно вспомнить какие вообще тогда антивирусы были.

stampoon 25 ноября 2009, 15:33 # ↑

черт, не посмотрел на дату, и все же за последние годы его использование только уменьшилось.

voa 25 ноября 2009, 12:39 # ↑

Много. Symantec главний антивирус партнер Microsoft.

amid_ukr 25 ноября 2009, 12:45 # ↑

Эти люди делают Norton Antivirus, судите сами много или нет

moroz1999 25 ноября 2009, 12:58 # ↑

кстати, Symantec — седьмая по величине софтварная компания в мире. Причем, насколько я знаю, львиную долю прибыли они получают с OEM-поставок, а вовсе не с розничной торговли.

mirrik 25 ноября 2009, 13:15 # ↑

То есть вы не зная темы решили сумничать? Похвально, чтож.

–2

ury 25 ноября 2009, 14:46 # ↑

Проведите сканирование своего ПК. Я уверен, найдете много интересного.

stampoon 25 ноября 2009, 19:34 # ↑

Сомневаюсь, что найду что-то интересное. Под wine почти ничего не водится, вирусов под linux вообще мало, а учитывая 64битную архитектуру… Хотя ладно, уговорили… Ну как и следовало ожидать, прогнал clamscan'ом, ничего.

imwode 25 ноября 2009, 14:51 # ↑

Лидер рынка

+14

maseal 25 ноября 2009, 12:36 # ↑

к сайту компании имеют отношение совершенно другие люди, никак не связанные ни с антивирусами ни с процессинговыми системами

ptenez 25 ноября 2009, 13:09 # ↑

Это все ясно, но это их партнеры и сотрудничая с нимы клиенты подвергают себя явному риску.

Onthar 25 ноября 2009, 14:21 # ↑

Когда поимели сайт апача, никто не перестал его использовать)

–1

Onthar 25 ноября 2009, 14:22 # ↑

Почему же люди должны уходить от использования нортона?)

preprocessor 27 ноября 2009, 15:45 # ↑

ага, его перестали использовать за долго до этого )

temujin 25 ноября 2009, 12:12 #

Это засада в квадрате: сперва пострадать от вирусов на компе а потом из-за того что у вендора антивиря увели твою кредитку.

ufik 25 ноября 2009, 13:49 # ↑

Вывод, нужно купить антивирус раньше, чем пострадать от вирусов =)

zhentos 25 ноября 2009, 14:39 # ↑

Но впоследствии всё равно пострадать от «того что у вендора антивиря увели твою кредитку».

Счастливого конца не предусмотрено?

ufik 25 ноября 2009, 14:51 # ↑

Вообще, в жизни мало что предусмотрено в конце хорошего =).

ufik 25 ноября 2009, 14:55 # ↑

жизнью*

defcon 25 ноября 2009, 17:52 # ↑

Почему же. Если использовать предоплаченную виртуальную кредитку жизнью 1 месяц и установленным лимитом в стоимость антивиря, то все закончится счастливым концом :)

Storm2k 25 ноября 2009, 12:28 #

Просто охренеть…

+12

Scrill 25 ноября 2009, 12:36 #

Пора бы какой-нибудь компании уже взять его на работу :)

+15

ESQUELETO 25 ноября 2009, 12:47 # ↑

Да его кто уже только не ищет :-)

SADKO 25 ноября 2009, 13:25 # ↑

Ну вообще то, много ума тут не надо, и всё это так-сказать «происшествие» есть не более чем не навязчивая реклама вот такой весёлой тулзы.

UUSER 25 ноября 2009, 14:18 # ↑

Программка на самом деле так себе… Mini MySqlat0r поумнее будет.

kolpeex 25 ноября 2009, 17:19 # ↑

И распространяют они ее с троем внутри.

kolpeex 25 ноября 2009, 21:07 # ↑

Я же не придумал, что минусы ставите?
www.virustotal.com/ru/analisis/6c2a5a9e5f91ee5bb51df6be3590f4523a188ca03104407bc511989105b94696-1258160650

kastaneda 25 ноября 2009, 13:30 # ↑

возможно, это он выполнял свою «работу» ;-)

–8

ojiga 25 ноября 2009, 12:36 #

опять лососнули тунца
жалко их

–5

rondob 25 ноября 2009, 12:44 #

маловероятно что это правда

+20

Gunnar 25 ноября 2009, 12:55 #

На счет хранения номеров карт, CVV кодов итд — если это правда, то компания Симантек грубо нарушала закон. Продавец не имеет права хранить эту информацию, он может хранить только специальный хеш-код, который возвращает ему Payment Provider, этот код может быть повторно использован для покупки ТОЛЬКО в этом машазине, больше ни где.

gnomeby 25 ноября 2009, 13:17 # ↑

Пруфлинк?

Я нашёл в доках ПейПала только то, что нельзя хранить CVV. + Слышал, что в зависимости от страны кредится не должна хранится более определённого срока в базе.

НЛО прилетело и опубликовало эту надпись здесь

gnomeby 25 ноября 2009, 13:30 # ↑

Судя по оригинальной новости они имеют следующие поля:

gnomeby 25 ноября 2009, 13:30 # ↑

BillingAddress, CardExpirationMonth, CardExpirationYear, CardNumber, CardType, CcIssueCode, CustomerEmail, CustomerFirstName, CustomerLastName or SecurityIndicator.

lasthero 25 ноября 2009, 14:24 # ↑

Многие забивают на ограничения и хранят CVV.

–1

egorinsk 25 ноября 2009, 16:29 # ↑

А в чем смысл таких ограничений, которые нельзя проверить? Попытаться убедить доверчиых пользователей карточек в их безопасности? Так я не думаю, что мнение отдельно взятого пользователя кого-то интересует.

Да и конкурентов у Visa/MasterCard нет, бояться им некого.

Lux_In_Tenebris 25 ноября 2009, 20:40 # ↑

CVV хранят почти все мелкие и средние мерчанты, как это ни странно :)

НЛО прилетело и опубликовало эту надпись здесь

AmoN 25 ноября 2009, 13:19 # ↑

Очень многие магазины хранят в себе базу введенных кард. Все равно об этом никто не узнает, если их не взламают. А по вашему откуда берется качественный «картон»?

AlexeyTokar 25 ноября 2009, 13:20 # ↑

если компания получила сертификат защищенности (уже не помню как именно он называется, но там серьездный аудит), то она может хранить эти пользовательские данные.
Я ранее работал в компании pctools, которая была куплена год назад симантеком, так вот тулсы при мне проходили этот аудит и вроде как почти получили данный сертификат — думаю у симантека он есть.
это одна из причин, почему мне не верится что их так просто было поломать

вторая причина — врядли базы данных, о которых идет речь в материале, находились в прямом доступе и на одном пользователе-пароле — это противоречит принципам защищенности, принятым в их (читай «буржуйских») компаниях. В пстулсах таблицы биллинга, работы с товарами, работы с клиентами находились в разных БД, были доступны только определенным пользователям и личшние таблицы никак не фигурировали в части продажи товаров, так что получить доступ к ним было достаточно сложно (если возможно).

вот такое мое видение ситуации, хотя уже давно не работаю с ними :)

Gunnar 25 ноября 2009, 13:37 # ↑

Про сертификаты защищенности не слышал, может и есть такое, в таком случае я стану еще большим параноиком по поводу он-лайн платежей.

Astashov_Anton 25 ноября 2009, 14:21 # ↑

По-моему, чтобы хранить у себя данные карт, надо получить PCI DSS

StringWriter 25 ноября 2009, 17:34 # ↑

Насколько я понимаю, даже получение сертификата PCI DSS не позволяет хранить все данные. Даже если сертификат есть, то можно хранить в защифрованом виде только данные с лицевой стороны карты. А с магнитной ленты и с обратной стороны карты вроде как нельзя

Astashov_Anton 25 ноября 2009, 17:48 # ↑

Конечно. Я имел ввиду данные с лицевой стороны.

egorinsk 25 ноября 2009, 14:42 # ↑

Вот мы и убеждаемся в очередной раз, что все эти сертификации — формальность и собирание денег. Причем, я так подозреваю, ни разработчики сайта, ни те, кто его проверяли (если они были), не понесут никакой ответственности?

p.s. Для SQL-инъекции в наше время, когда о ней знает каждый школьник, не может быть никакого оправдания. Тем более что у хакера по-видимому не было доступа к исходникам и он искал ее вслепую.

AlexeyTokar 25 ноября 2009, 14:43 # ↑

Вы уверены, что материал не утка?

egorinsk 25 ноября 2009, 16:22 # ↑

Предлагаете проверить?

AlexeyTokar 25 ноября 2009, 16:23 # ↑

предлагаю не верить во все что пишут :)

vital 25 ноября 2009, 13:35 # ↑

Такие компании, как Microsoft и Autodesk, делают из отдельного решения e-commerce целый бизнес.
Если бы Symantec вывел его в отдельную компанию, таких бы предположений не было.

Pas 25 ноября 2009, 22:31 # ↑

Только не CVV, а CVV2 (или CVC2). Первый CVV/CVC записан на магнитной полосе. А то, что они его хранят, конечно анреспект.

amid_ukr 25 ноября 2009, 12:55 #

news.softpedia.com/images/news2/Symantec-Online-Store-Hacked-3.jpg
Неудевлюсь если у этой проги есть «Пасхальные Яйца», и этого хлопца поймают

Nicomashi 25 ноября 2009, 12:57 #

Я думал опять скажут, что русские хакеры =)

bediary 25 ноября 2009, 12:57 #

Молодец парень. Только я надеюсь что взлом был совершен ради интереса и данные с кредиток не будут использованы.

AmoN 25 ноября 2009, 13:22 # ↑

У вас в кармане лежат ключи от феррари, которая стоит под окном, вы не будете ездить?

sayber 25 ноября 2009, 13:33 # ↑

Если феррари не моя, то скорее всего не поеду. Т.к. если поцарапаю — проблем не оберусь.
Так и тут — можно попасть на «феррари» и его хозяина.

DrAlan 25 ноября 2009, 14:15 # ↑

Вы нашли айфон
Вы будете им пользоваться или продадите? Или вы все же отнесете его в милицию?

может пример не удачен но парень целенаправленно «нашел» данные кредиток. Остается продать базу распространителям — и деньга есть и риски маленькие, так как потом данные буду проданы более мелким распространителям, а потом потребителям которых уже будут отлавливать.

Используй айфон — никто тебя не поймает.

П.С. мобильники я возвращаю хозяевам: ) и законы не нарушаю с целью наживы.

guessss_who 25 ноября 2009, 18:24 # ↑

С телефоном пример очень неудачен. Милиция (в силу её природы в нашей стране), конечно, последний вариант. Но и варианты «будете пользоваться / продадите» тоже у большинства нормальных человеков где-то в конце списка. Т.к. в телефоне обычно более чем достаточно информации для успешного нахождения его владельца.

DrAlan 25 ноября 2009, 19:11 # ↑

да извеняюсь я перепутал айфон и айпод (эти все ай игрушки вечно путаются у меня в голове)
телефон мобильный не хотел изначально предлагать так как его по имею выкупают (если сможешь достучатся до разума милиции — обычно они такие дела не начинают под разными предлогами)

XPilot 25 ноября 2009, 12:58 #

Интересно, что за БД Northwind…

galev 25 ноября 2009, 13:03 # ↑

Демо-база SQL Server

XPilot 25 ноября 2009, 13:05 # ↑

Это понятно, но интересно что она там делает

EXSlim 25 ноября 2009, 15:56 # ↑

по ней, видимо, они изучают SQL :)

web4_0 25 ноября 2009, 13:08 # ↑

Пользователи Access, вероятно сталкивались с базой «Борей». Так вот это из той же оперы.

Alexys 25 ноября 2009, 12:58 #

К сожалению, это общая проблема всех вендоров.

Дело в том, что разработчик антивирусного движка, файрвола или проактивной защиты не имеет никакого отношения к веб-сайту компании. Этим занимаются абсолютно разные люди и разные отделы.
Поэтому качество антивирусного движка никак не соотносится с защищенностью веб-сайта.

И тут еще есть одна общая проблема. Те люди, которые способны написать нормальный антивирус (а у Symantec достойный движок), достаточно много понимают в безопасности, так это их работа. А те люди, которые пишут хороший, функциональный и красивый сайт, часто вообще не понимают ничего в безопасности. Так как в бjльшей степени привыкли решать бизнес-задачи, а не задачи обеспечения безопасности.

Я думаю, что в ближайшие годы, разработчики веб-сайтов существенно повысят свои знания в области безопасности и подходов к разработке безопасного кода. После этого таких проблем будет гораздо меньше.

А вообще для компании такого размера это, конечно, не есть гуд. У них есть и средства, и ресурсы для проведения аудита сайта. Также не понятно почему все хранится в одном месте. Ну, то есть, вопросов тут больше чем ответов.

AlexeyTokar 25 ноября 2009, 13:23 # ↑

вы не поверите, но за сайт очень сильно нагибают с точки зрения безопасности. на себе приходилось ощущать. да — не все так прекрасно, но то что касается биллинга всегда проходило несколько инстанций прежде чем попасть в продакшн. чуть выше написал развернуто

web4_0 25 ноября 2009, 12:59 #

Сперва вирус на сайте NOD32, теперь это… Что будет дальше?

lasthero 25 ноября 2009, 14:27 # ↑

Касперский, ты на очереди.

bondbig 25 ноября 2009, 16:31 # ↑

Его уже ломали и не раз, о чем, кстати, сказано в заметке.

dohlik 25 ноября 2009, 13:05 #

>> в которой хранились логины и пароли посетителей сайта
Интересно, а пароли пользователей тоже в явном виде хранились? Неужели все настолько плохо?

dohlik 25 ноября 2009, 13:13 # ↑

Ага, уже нашел в оригинале — with the passwords stored in plain text.
Это жесть…

Кстати, в топике не указано, что хакер ничего плохого не сделал, главная цель — привлечь внимание к уязвимости.

Unixspv 25 ноября 2009, 14:53 # ↑

Хеш, например, md5 тоже по сути «plain text». Я все-таки сомневаюсь что там пароли хранились в открытом виде, хотя, конечно, всякое бывает…

dohlik 25 ноября 2009, 14:57 # ↑

Знаете, еще вроде как не настали времена, когда хэш начали называть «plain text» :) Если речь идет о хранении паролей, то данная фраза имеет вполне определенный (негативный) смысл.

UUSER 25 ноября 2009, 13:13 #

Спасибо. Взял программку на «вооружение» :)

Timursan 25 ноября 2009, 13:14 #

А почему на втором скриншоте вместо «Drives» написано «Drivers»? (красным подчёркнуто) Там же диски, а не драйверы…

–1

Doomsday_nxt 25 ноября 2009, 13:20 # ↑

Водилы :-Д

GreenDay 25 ноября 2009, 14:37 # ↑

Программа же китайская. Так что нечему удивляться. Перевод порой просто абсурдный.

mihcom 25 ноября 2009, 13:40 #

Хмм… Собственно говоря, представлены пара скриншотов, которые ничего не доказывают (лично меня смущает слово Drivers вместо Drives — может, этот румын не слишком хорошо владее английским?). Скриншоты не предоставляют ничего, что могло бы доказать, что БД реально взломана.

–1

Hanhe 25 ноября 2009, 13:50 #

Действительно странно, что выложив два скриншота сомнительной достоверности можно бдет кучу людей, что взломал сайт неглупой компании…

life 25 ноября 2009, 13:57 #

+100 к моей паранойе

grokinn 25 ноября 2009, 14:28 #

зачем вообще хранить данные карт на сервере подключеном к интернет, тогда как они должны храниться исключительно на сервере никак не связанном с инетом и складываться туда через шлюз (если вообще так уж надо их хранить, вместо того чтоб пользоваться услугами того же paypal).

НЛО прилетело и опубликовало эту надпись здесь

ColorPrint 25 ноября 2009, 20:56 # ↑

PayPal под 4% вроде сдирает.
С собственным мерчант-аккаунтом всегда выгоднее, тем более на больших оборотах

–4

egorinsk 25 ноября 2009, 14:34 #

Сайт делали индусские или русские аутсорсеры-фрилансеры?

Вот, уважаемые заказчики, к чему приводит попытка излишней экономии!

infi 25 ноября 2009, 19:25 #

Надеюсь они догадались, что данные по кредитке нужно с начало шифровать в скриптах, а уже потом писать в БД.
Ибо при SQL-INJ редко можно получить доступ к руту или скриптам.

Lux_In_Tenebris 25 ноября 2009, 20:32 # ↑

если в качестве БД используется MySQL, то нередко можно встретить, что сайт работает с базой под root'ом MySQL, либо просто обладает весьма обширными привелегиями (почти аналог root), позволяющими читать таблицу mysql.user и/или использовать LOAD_FILE() чтения произвольных файлов :)

Lux_In_Tenebris 25 ноября 2009, 20:30 #

безопасники такие «безопасные» %)

hitrec 25 ноября 2009, 20:37 #

Какой-то странный у них сервер с базой данных. Что ещё за два CD-ROM дисковода?! Серьёзно что ли вот прямо взяли старенький комп с двумя дисководами (очень старый, даже не DVD и не RW приводы!) и запихнули в стойку. Ага. И ещё назвали Сервер Баз Данных. Ага. И стали там хранить пароли в plain-text. И ещё на сладкое данные карт вместе с CVV.
Прям сказка какая-то. Так нелепо, что не верится.

Максимум во что я поверю, что это honey pot. Специально чтобы ловить таких шустрых румынов. :)

efoxxi 26 ноября 2009, 13:19 # ↑

cd порой удобно использовать для загрузочных восстановительных дисков
а второй cd — виртуальный скорее всего )

НЛО прилетело и опубликовало эту надпись здесь

Antispammer 30 ноября 2009, 02:16 #

Винда — это зло.

> А мне всегда казалось, что хакер не может пользоваться виндовс ХП с темой оформления Luna blue или как там она зовется :)))
+1
Хакер сидит на UNIX like )))

а это скорее всего скрипткид.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.