Romunski hekerji v ZDA tri leta kradli številke kreditnih kartic

Skupina romunskih hekerjev je v ZDA od leta aprila 2008 do maja letos neovirano kradla številke kreditnih kartic v več kot 150 franšizah Subwayja in še približno 50 drugih manjših prodajalcih, je razvidno iz nedavno odpečatene obtožnice. V tem času so nakradli več kot tri milijone dolarjev in pridobili bančne podatke več kot 80.000 žrtev. Zgodba pa je toliko bolj vznemirjujoča, ker je napad neodkrito potekal tako dolgo in ker so uporabili povsem osnovne tehnike, kar priča o izjemno slabi zaščiti trgovcev pred zlorabami.

Napadalci so s prosto dostopnimi orodji preverili, ali imajo POS-sistemi (skenirali so celotne bloke IP-naslovov) napadenih trgovcev odprta nekatera vrata (port), ki se tipično uporabljajo za oddaljeni dostop do sistemov (remote access). Ko so jih našli, so poizkusili z osnovnimi prijemi vdora in pridobili dostop do sistemov. Pri tem so največkrat uspeli uganiti gesla, ki so še vedno prepogosto zelo šibka (password, 123456, admin itd.). Ko so pridobili dostop do sistemov, so nanje namestili programsko opremo za beleženje transakcij in stranska vrata, ki so zagotavljala neoviran dostop tudi v primeru spremembe konfiguracije ali namestitev popravkov.

Trgovci so bili ranljivi, ker so prekršili jasna navodila Subwayja. Ta od njih zahteva spoštovanje varnostnih standardov PCI za kartično poslovanje, ki med drugim izrecno prepovedujejo nameščanje programske opreme za oddaljen dostop na sisteme, prek katerih poteka kartično poslovanje. Imetniki franšiz so ta navodila ignorirali. Problematično je, da ne gre za klasičen primer, ko bi kdo pozabil namestiti kakšen program ali kaj pravilno nastaviti, ampak so samoiniciativno nameščali dodatno, neavtorizirano programsko opremo. K ranljivosti so seveda pripomogla še slabo izbrana gesla.

Napadalci so z ukradenimi številkami kreditnih kartic najeli domene in spletno gostovanje, na tako postavljenih straneh pa so shranili pridobljene številke kreditnih kartic. Nekaj so jih prodali na črnem trgu, druge so uporabili za izdelavo ponarejenih kreditnih kartic, ki so jih uporabljali v Belgiji. IT-oddelek Subwayja je takoj po odkritju nelegalnega početja uvedel ukrepe, ki so preprečili nadaljnje kraje. Štirim obtoženim Romunom (eden je še na prostosti), ki so stari med 23 in 27 let, grozi po štirideset let zaporne kazni za vse točke obtožnice.