[info]chronogate


Chronopay. Павел Врублевский. Redeye

Контрольный выстрел в Хронопей


База кредиток и ключи к сертификатам Chronopay в открытом доступе!
[info]chronogate
Стремно публиковать такую информацию в основном блоге, создал новый.

Наткнулся на закрытом хакерском форуме на предложение поучаствовать в массовой
MIM-атаке на Chronopay. Кроме того, там же предлагалось прикупить за небольшую сумму валидные кредитки из недавно украденной базы Хронопей с cvv-кодами и остатками на счетах. Любопытство взяло верх - купил 50 тысяч номеров кредитных карт, проверил - 70-80% проходит.
Но, главное - на chronopay уже три недели идет активная MIM-атака с использованием их новых сертификатов на .ru домене.
Для тех, кто не в теме, поясню схему: допустим, есть некая офисная/домашняя сеть под контролем админа Васи. Весь интернет трафик, как правило, идет в мир от одного и того же IP-адреса для всех пользователей сети. Т.е. клиенты имеют некие внутренние IP адреса (например 10.0.100.5), но в мир их трафик уходит например от адреса 187.133.23.7 (т.е. через НАТ).
Такая схема почти всегда применяется в большинстве домашних или мелких офисных сетей, использующих обычное DSL соединение). Допустим, у Васи имеется спизженый приватный ключик от payments.chronopay.ru (не сертификат - а именно КЛЮЧ, который РЕАЛЬНЫЙ владелец сертификата по легенде должен содержать в строжайшем секрете и безопасности).
Тогда Вася путем неких нехитрых манипуляций может у себя в сети установить некий проксирующий софт, который будет прозрачно принимать на себя весь трафик адресованный https://payments.chronopay.ru При этом он будет дешифровать все данные - а потом от своего имени отправлять их уже НАСТОЯЩЕМУ Хронопей. Вот такого рода атака называется Man in the Middle. Именно в этом случае ни клиенты ни сам Chronopay НЕ ЗАМЕТЯТ подвоха (браузер клиентов НЕ БУДЕТ ругаться на сертификат, а payments.chronopay.ru будет в любом случае получать трафик от 187.133.23.7, не подозревая что на этот раз трафик идет уже не от клиента а от проксирующего софта). Кстати такой софт в принципе имеется в публичном доступе.
А если это будет не Вася - админ небольшой домашней сети, а Петя – админ крупного провайдера, то это пиздец.
Он будет ежеминутно получать в свое распоряжение валидные кредитки пользователей своей сети со всеми их потрохами (адреса, cvv, и прочие ФИО) - что в итоге приведет к массовой утечке приватных данных.
Судя по тому, что объявление опубликовано 28 декабря, а на форуме тусуются, мягко говоря, люди разбирающиеся, можно предположить, что десятки тысяч россиян, попользовавшихся в 2011 году Хронопеем скоро ждет неприятный сюрприз в виде левых списаний с карточек.

Я, в общем-то не хакер и не кардер, тусуюсь там по долгу основных служебных обязанностей по охране безопасности вверенных мне сетей. Но когда я это дело увидел, то, говоря откровенно, прихуел. А когда почитал про недавние атаки на Хронопей и заявления их СБ и владельца Павла Врублевского (которого все почему-то называют Redeye), что ничего не было и никуда не утекло, и проверил действительность присланного мне ключа от сертификата на действующем домене payments.chronopay.ru я ОХУЕЛ. Ну и до кучи порции по 50 с лишним тысяч кредиток, которые они раздают за символическую плату - лишь бы люди их кардили - этого нельзя замалчивать. Я лично взял себе западные креды (там больше денег, за всякую чушь заплатить в инете - самое то).

Да, кому интересно с чего там все началось - вот небольшая подборочка. Думаю, теперь понятно зачем был весь этот сыр-бор в конце прошлого года - простая дымовая завеса для более масштабной атаки:
http://lenta.ru/articles/2010/12/28/chrono/
http://t-itanium.livejournal.com/tag/chronopay
sinodov.livejournal.com/631151.html
http://exler.livejournal.com/1563398.html
http://secinsight.blogspot.com/2011/01/chronopay.html
http://unab0mber.livejournal.com/1164287.html
slon.ru/blogs/asmirnov/post/520014/
slon.ru/articles/517908/
http://trankov.livejournal.com/1406486.html
news.yandex.ru/chronopay
http://ibigdan.livejournal.com/7825218.html
http://eldarmurtazin.livejournal.com/821784.html
http://redeye-blog.com/
http://rauf.livejournal.com/427599.html

Да, забыл самое главное!
Вот тут выкладываю сертификат и приватный ключик к payments.chronopay.ru (а то ведь не поверит никто) rghost.ru/3982344
Вот тут прикупленные мной кредитки - пользуйтесь на здоровье (ребятам из СБ VISA и Mastercard пламенный превед!) rghost.ru/3982324
на всякий случай, если снесут (PR-служба Chronopay не дремлет :) upload.com.ua/link/902280755

PS Понятно, что хронопеевцы сейчас же аннулируют этот ключ и переедут обратно на chronopay.com - я тогда выложу ключ и от payments.chronopay.com к сертификату, выпущенному 29 декабря 2010 года, он тоже есть в распоряжении.

UPD Как я и говорил - все сертификаты перевыпущены сегодняшним числом (в этом легко убедиться зайдя по соответствующим ссылкам). Предлагаю делать ставки на то, как скоро новые приватные ключи окажутся в публичном доступе :)

Так что будьте осторожны, ребята:
База кредиток и ключи к сертификатам Chronopay снова в открытом доступе
  • 13
  • Leave a comment
  • Add to Memories
  • Share this!

Home