Хакер #305. Многошаговые SQL-инъекции
Согласно обвинительному заключению, четверо граждан Румынии были обвинены во
взломе систем обработки карт в более чем 150 ресторанах Subway, а также еще в 50
других неназванных розничных сетях.
Хакеры похитили данные кредитных карт более 80 000 клиентов, и использовали
эти данные для получения миллионов долларов на несанкционированных покупках.
С 2008 по май 2011 хакеры, предположительно, взломали более 200 кассовых
аппаратов, и установили программы для считывания и записи нажатия клавиш, а так
же другое ПО для кражи номеров кредитных, дебитовых и подарочных карт клиентов.
Они также установили на системы бэкдоры для получения постоянного доступа.
Также хакеры, якобы, изучили интернет на предмет поиска уязвимых аппаратов,
на которых были установлены определенные приложения, а потом использовали эти
приложения для доступа к аппарату, либо методом угадывания пароля, либо
используя ПО для взлома паролей.
Кассовые аппараты, как правило, состоят из устройства для сканирования карт,
где покупатели сканируют свои карты и вводят PIN или расписываются, а так же
системы, которая переправляет данные на обработку для проведения проверки и
подтверждения.
В обвинении не указывается, какие аппараты используются в Subway, но в 2009
году сеть по производству сэндвичей объявила о принятии на вооружении аппаратов
Torex Quick Service во всех 30 000 тысячах своих ресторанов.
Адриан Тибериу-Опрэ (27), Люлян Долан (27), Сезар Люлян Буту (26) и Флорин
Раду (23) были обвинены в Округе Нью-Хэмпшир по 4 пунктам, среди которых: сговор
с целью совершения компьютерного мошенничества, мошенничество с использованием
технических средств и мошенничество с доступом к устройству. В обвинительном
заключении также упоминается о двух неопознанных участниках сговора, которые
пользуются в сети прозвищами "tonymontanamiami" и "marcos_grande69".
Опрэ арестовали в Румынии и сейчас он находится там под стражей, Долана и
Буту арестовали по прибытии в США в прошлом Августе, а Раду находится на
свободе.
В обвинительном заключении не названы другие жертвы кроме Subway, так же не
называется удаленное ПО, которое взломали хакеры. Но у дела много схожих черт со
случаями, произошедшими еще в 7 ресторанах США, которые в 2009 подали в суд на
производителя кассовых аппаратов за то, что он не смог защитить свои продукты от
румынского хакера, взломавшего системы. Тогда рестораны, расположенные в
Луизиане и Миссисипи, подали групповой иск против компании Radiant Systems из
Джорджии, производителя кассовых аппаратов Aloha. Истцы утверждали, что
продукция компании не отвечала стандартам, в результате чего номера карт
неустановленного числа клиентов оказались украдены. В иске утверждалось, что
система сохраняла все данные, записанные на магнитную полоску карты, после
завершения платежа, что является грубым нарушением стандартов безопасности
индустрии. В иске также фигурировала компания Computer World из Луизианы,
которая занималась продажей и обслуживанием аппаратов Aloha. Согласно заявлением
истцов, техники из Computer World установили на аппараты программы удаленного
доступа PCAnywhere, чтобы удаленно исправлять технические проблемы. Единственная
проблема заключалась в том, что компания не смогла защитить программу. В иске
говорилось, что на программу не устанавливались обновления, а логин и пароль
PCAnywhere, которыми техники пользовались для доступа к аппаратам, были
одинаковыми для всех 200 районов штата, где были установлены аппараты. Согласно
словам одного из истцов, логин был "administrator", а пароль – "computer".
Хакер, который, как утверждалось, живет в Румынии, получил доступ к системам как
минимум 19 точек благодаря программе PCAnywehere. Получив доступ, хакер
установил зловред для сбора данных карт, и последующей их кражи и пересылки на
электронный адрес в Румынии.
На данный момент неизвестно, являлись ли взломы Subway и взломы с участием
аппаратов от Radiant делом рук одних и тех же хакеров.