» »

Vdor v Neiman Marcus resnejši od prvotnih ocen, naslednja žrtev Michaels

Vdor v Neiman Marcus resnejši od prvotnih ocen, naslednja žrtev Michaels

The New York Times - Po zelo resnem vdoru v računalniški sistem ameriške trgovske verige Target, s katerim so napadalci odnesli osebne podatke 110 milijonov strank, se je tudi vdor v Neiman Marcus izkazal za resnejšega od prvotnih ocen. Napadalci so dobili 1,1 milijona podatkov, priznava Neiman Marcus.

Napadalci so dobili 1,1 milijona številk kreditnih kartic, ki so jih že hitro prodali dalje, kar je že privedlo do prvih zlorab. Visa, MasterCard in Discover so trgovsko mrežo Neiman Marcus že obvestili, da so na 2400 karticah, ki so jih kupci med 16. julijem in 30. oktobrom lani, ko je potekal napad, odkrili nezakonite transakcije. Preiskava kaže, da so napadalci uporabili enako programsko opremo kot pri napadu na Target. Gre za programe, ki prisluškujejo transakcijam v POS-terminalih, in sicer berejo neposredno vsebino pomnilnika, s čimer se izognejo šifriranju.

Čeprav je napad potekal od julija do oktobra lani, so se ga v Neiman Marcusu zavedli šele decembra, ko jih je kartični procesni center obvestil o visokem številu neznanih transakcij na karticah, ki so jih kupci uporabili v Neiman Marcusu. Malwara v svojih sistemih niso odkrili sami. Januarja so tako začeli obveščati stranke, kaj se je zgodilo, vsem pa bodo ponudili brezplačni nadzor prometa in pokritje vseh stroškov, ki jih bodo utrpeli.

Sedaj smo izvedeli tudi, katero je tretje podjetje, ki je doživelo vdor. To je veriga Michaels, kjer preiskava že poteka. Podrobnosti o vdoru še niso znane, so pa tudi tod verjetno kradli številke kreditnih kartic, saj vdor preiskuje ameriška tajna služba.

Čedalje pogostejši vdori v ZDA sprožajo debato, ali se sistema ne bi dalo izboljšati. Doslej interesa za to ni bilo, ker prevare odnesejo 0,05 dolarja na vsakih 100 dolarjev kartičnih transakcij, kar je manj od cene postavitve varnejšega sistema. Toda število prevar raste in se je v letih 2004-2010 povečalo za 70 odstotkov. Zanimivo je, da v ZDA opravijo 27 odstotkov kartičnih transakcij na svetu, a se tam zgodi 47 odstotkov vseh prevar. Vseeno se počasi premika. Konzorcij EMV (Eurocard, MasterCard in Visa) je pritisnil na trgovce, da nadgradijo sisteme, da bodo izkoriščali čipe na karticah. V Evropi ima čipe več kot 80 odstotkov kartic, medtem ko se v ZDA še vedno zanašajo na magnetni trak. Tako bodo morali po oktobru 2015 trgovci vso škodo, ki nastane zaradi zlorab kartic, kriti sami, če ne bodo imeli opreme za branje čipov na karticah.

14 komentarjev

mr1two ::

"Napadalci so dobili 1,1 milijona podatkov" ne, da dlakocepim, ampak ta stavek je res čuden :)
Uporaba troblje v avtu povzroči krčenje možganov.

krneki0001 ::

napadalci so dobili podatke od 1.1 miljona kartic
Asrock X99 Extreme 4 | Intel E5-2683V4 ES | 64GB DDR4 2400MHz ECC |
Samsung 250GB M.2 | Asus 1070 TI | 850W Antec | LC Tank Buster

Totscha ::

Originalni članek navaja, da je bilo 1,1 milijon kreditnih kartic potencialno izpostavljenih zlonamerni kodi. Se pravi ni nujno, da so napadalci dobili številke vseh teh, je pa zelo verjetno.

Je pa zadnji čas, da se 'Murica premakne iz prejšnjega stoletja...

Looooooka ::

A sam američanom tok radi vdirajo al so pri nas bolj tiho o teh zadevah?
Ker ko se piše o nekih vdorih je tarča vedno neka ameriška firma(oz tak vtis dobivam).

ales85 ::

En razlog je v tem, da večinoma še vedno uporabljajo magnetni trak namesto čipa. In očitno je ravno uporaba magnetnega traku bolj dovzetna za takšne zlorabe.

Relanium ::

Pa tud dosti večji so in se bolj splača pomoje...

MrStein ::

A bi čip preprečil to zlorabo?
Saj tam POS tudi prebere številko kartice.
Teštiram če delaž - umlaut dela: ä ?

phantom ::

@MrStein
Pri traku vidi vse podatke o kartici, pri čipu pa le tiste, ki so nujni za izvedbo transakcije, avtentičnost kartice pa se preveri kriptografsko (z uporabo javnega/zasebnega ključa). POS terminal pošlje čipu izziv (naključen niz znakov) in pogleda, če ga je pravilno zašifriral, zasebni ključ pa ni nikoli prebran iz kartice.
~
~
:wq

MrStein ::

Ukradli so številke kartic.
A chip prepreči, da POS vidi številko kartice?
- DA
- NE
Teštiram če delaž - umlaut dela: ä ?

Looooooka ::

POS lahko prebere stevilko kartice.
Sej stevilka kartice sama po sebi ni dovolj.
Pa tu ce ukradejo vse stevilka kartice se ni konec sveta.
Problem je ko 10x na leto preberes, da so vsi shranjevali pine uporabnikov na ne-varen nacin...oz se hujse, ko to shranjujejo spletne stacune, ki tega sploh ne bi smele poceti(E V E R).

MrStein ::

Torej trdiš, da so v novici tudi PIN ukradli?
Teštiram če delaž - umlaut dela: ä ?

M.B. ::

There are three tracks on the magstripe. Each track is .110-inch wide. The ISO/IEC standard 7811, which is used by banks, specifies:
Track one is 210 bits per inch (bpi), and holds 79 six-bit plus parity bit read-only characters.
Track two is 75 bpi, and holds 40 four-bit plus parity bit characters.
Track three is 210 bpi, and holds 107 four-bit plus parity bit characters.

Your credit card typically uses only tracks one and two. Track three is a read/write track (that includes an encrypted PIN, country code, currency units, amount authorized), but its usage is not standardized among banks.


Iz http://money.howstuffworks.com/personal... .
Iz WP del prve sledi:
Primary account number (PAN) -- up to 19 characters. Usually, but not always, matches the credit card number printed on the front of the card.
Discretionary data -- may include Pin Verification Key Indicator (PVKI, 1 character), PIN Verification Value (PVV, 4 characters), Card Verification Value or Card Verification Code (CVV or CVC, 3 characters)

Glede na to pa da imaš spyware v ramu po moje ni tak problem še prebrat kaj je človek natipkal da dobiš PIN.
Everyone started out as a newbie.
Sadly only a handful ever progress past that point.

MrStein ::

Ja, ne glede če je chip ali magnet, a ne?
Teštiram če delaž - umlaut dela: ä ?

M.B. ::

PIN lahko dobiš če maš dostop do POS terminal firmwara po moje. Ne morš pa čipa skopirat.

Čip pa samo pove če je PIN ok ko mu ga daš. Ni pa omejeno število poskusov :) Lahko pa imaš sheckan POS terminal ki za vsak pin ki mu ga daš reče da je OK pa sploh ne vpraša kartice pa se tak avtorizira.

Še nekaj podatkov o target napadu: http://krebsonsecurity.com/2014/01/new-...
Vse se je zgleda začelo z SQL injection.
Everyone started out as a newbie.
Sadly only a handful ever progress past that point.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Vdor v Neiman Marcus resnejši od prvotnih ocen, naslednja žrtev Michaels

Oddelek: Novice / Varnost
144722 (2165) M.B.
»

Napad na Target ciljal pomnilnik v POS-terminalih

Oddelek: Novice / Varnost
84874 (2850) M.B.
»

Hekerski napad Target bistveno obsežnejši

Oddelek: Novice / Varnost
146070 (4402) Val202
»

Z vdorom v kartični procesni center ukradli 45 milijonov dolarjev

Oddelek: Novice / Varnost
306052 (3008) Gregor P
»

Romunski hekerji v ZDA tri leta kradli številke kreditnih kartic

Oddelek: Novice / Varnost
468779 (5769) SkipEU

Več podobnih tem