Американская сеть магазинов Target продолжает расследование инцидента с кражей банковских карт покупателей через зараженные платежные терминалы. По имеющейся информации, злоумышленники получили полную копию около 40 млн банковских карточек (track data), что позволяет им изготавливать функциональные копии этих карт и рассчитываться ими за покупки в магазинах.
Изначально представители Target заверили общественность, что злоумышленникам не удалось получить PIN-коды карт. Теперь компания выступила с небольшим уточнением: все-таки удалось, но информация надежно защищена шифром Triple DES (3DES).
Target поясняет, что шифрование PIN-кода осуществляется непосредственно после его ввода на клавиатуре терминала и он хранится в системе в зашифрованном виде. При этом на компьютерах Target отсутствует ключ для расшифровки PIN-кодов, поэтому он не мог быть получен злоумышленниками. Ключ шифрования есть только у сторонней процессинговой компании, которая обрабатывает платежи.
Специалисты по безопасности скептически отнеслись к заявлению Target о невозможности расшифровать PIN-коды. Например, Роберт Грэм из компании Errata Security пишет, что Target либо не разбирается в информационной безопасности, либо умышленно вводит публику в заблуждение. Хотя шифр 3DES и не взломаешь, но если не использовалась соль, то одинаковые PIN-коды имеют одинаковый шифр и можно их узнать без расшифровки. Американские банки зачастую позволяют клиенту самому выбрать PIN-код для карты — и конечно же люди выбирают популярные комбинации вроде 0000 и 1234.
Кроме того, можно использовать другие методы. Имея базу в 40 млн карт, хакер может сравнить значения шифротекста для карточек, к которым он знает PIN-коды. Поскольку здесь всего 10 тыс. возможных комбинаций, то каждый разгаданный PIN-код дает ему доступ к PIN-кодам примерно от 4000 карт.
Можно попробовать банальный брутфорс, пробуя в разных терминалах PIN-коды один за другим. Опять же, с каждым угаданным PIN-кодом он получает полный доступ еще к 4000 картам. Процесс упрощается, если использовать таблицу частотности PIN-кодов.
Кстати, Брайан Кребс ведет независимое исследование инцидента с Target и уже опубликовал фотографии хакера из Одессы, который продает украденные карты Target на подпольных форумах.
