| | ||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||
|
Легче легкогоКак случилось, что компьютерный взломщик-подросток умудрился украсть у коммерческого веб-сайта тысячи номеров кредитных карт и продавать их в розницу? И почему - если верить вору - он до сих пор может пополнять свои запасы на том же сайте? Пострадавший - компания CD UNIVERSE - упорно молчит, однако интервью с самим хакером и разговоры с экспертами позволяют предположить, что в данно случае мы имеем дело еще с одной грязной тайной электронной коммерции, в конце концов выплывшей наружу: оказывается, что по всему Интернету номера кредитных карточек пользователей хранятся в базах данных в текстовом формате. Хакер, назвавший себя "Максус", в прошлом году сумел проникнуть в компьютер CD UNIVERSE и похитил из него около 300 тысяч номеров кредитных карточек клиентов компании. После того, как веб-сайт отказался в предрождественское время выплатить хакеру $100 тыс., тот начал по частям публиковать находящиеся в его руках данные на специальном веб-сайте. Этот сайт мог бы и до сих пор существовать, а хакер добавлял бы туда еще и еще краденые номера, но Максус вдруг захотел прославиться: он сообщил о существовании своей страницы с ворованными номерами кредитных карт но веб-сайт SecurityFocus, занимающийся новостями из разряда компьютерной безопасности. История получила огласку, и сайт был закрыт. Однако Максус не намерен останавливаться на достигнутом: в совем письме NBC NEWS, отправленном в минувший вторник, он сообщил, что вскоре собирается открыть еще одну страницу, и опубликовать еще больше номеров. В своем интервью MSNBC Максус сообщил, что уже продал около 10 тысяч номеров, но в случае необходимости всегода сможет пополнить свои запасы на сайте CD UNIVERSE. Но как? После такого количества разговоров о необходимости шифрования информации как ему удалось получить данные о пользователях CD UNIVERSE? Эксперты приводят две возможные причины, причем одна из них гораздо вероятнее другой: либо вся информация хранилась на веб-сайте в незашифрованном текстовом формате, и хакер просто просто проник во внутреннюю сеть компании и скопировал файлы из базы данных - либо ему удалось в добавок расшифровать эти файлы. Большинство экпертов придерживаются первой версии. До сих пор остается тайной, каким образом Максусу удалось проникнуть в компьютер CD UNIVERSE. Известно другое: сразу же после того, как история получила огласку, Бред Гринспен, президент компании-основательницы CD UNIVERSE, eUniverce, обвинил во всем программное обеспечение ICVerify, используемое CD UNIVERSE для верификации кредитных карт. Газета New York Times также сообщила, что в результате ее бесебы с Максусом удалось установить, что для проникновения была использована "дыра" в ICVerify. И это не единственное черное пятно на совести данного ПО, распространяемого компанией Cybercash. После первого января, к примеру, некоторые версии этой программы начали по нескольку раз выставлять счета одним и тем же кредиткам за одни и те же покупки. Компания Cybercash заявила, что в этом виноваты пользователи программы, своевременно не обновившие имеющиеся у них версии, а кредитным компаниям (Visa, Mastercard и др.) удалось предотвратить повторное проведение идентичных транзакций - в результате обыватели ничего не заметили. Во вторник компания Cybercash опубликовала пресс-релиз, в котором утверждает, что CD UNIVERSE вообще не пользуется их программным обеспечением. Кроме вопросов, касающихся конкретного случая кражи данных у CD UNIVERSE возникает еще несколько вопросов общего характера, один из которых: зачем вообще коммерческие веб-сайты продолжают хранить кредитную информацию своих клиентов? Ведь понятно, что наличие в компьютерах коммерческих организаций подобной информации всегда будет притягивать к ним злоумышленников, и в случае удачного взлома пострадавшей стороной в первую очередь окажутся клиенты компании. Один из корреспондентов MSNBC поведал нам о случае, когда один из лондонских банков заплатил хакеру $1 млн, чтобы тот уничтожил украденную из банковского компьютера информацию.
|
