В эти дни в Лас-Вегасе проходит настоящая «хакерская неделя»: конференции BSides, Black Hat и DEF CON следуют прямо друг за другом. Как и всегда в это время года из Вегаса приходит множество интересных новостей. К примеру, ИБ-специалисты Уильям Капут (William Caput) а Сэм Райнталер (Sam Reinthaler) представили на конференции BSides доклад, посвященный повальной небезопасности подарочных карт.
«Около половины всей индустрии [подарочных] карт пользуются услугами одного единственного производителя, и они столкнулись c “о, черт!” моментом. Некоторые из них игнорируют проблему до тех пор, пока исследование не будет обнародовано публично, и уже тогда они будут вносить изменения», — рассказал Капут журналистам издания The Register.
По словам исследователей, корень проблемы кроется в наплевательском отношении к безопасности. Дело в том, что большинство подарочных карт оснащаются 16-значными номерами, однако первые 12 символов таких номеров – это простейшая арифметическая прогрессия, тогда как последние 4 цифры рандомизированы. По сути, подобрать номера карточек можно просто увеличивая или уменьшая неслучайную часть номера.
Специалисты рассказали, что для генерации новых карт достаточно вооружиться инструментом Burp Intruder и простейшим устройством для чтения и записи карт (исследователи приобрели свой кардридер MSR606 за $80 на Amazon). Капут объясняет, что любой желающий может набрать в магазине «пустых» карточек, просчитать по ним номера других карт, а затем брутфорсом в онлайне вычислить карты, на которых уже есть денежные средства. После для клонирования карт используется кардридер, и готовыми копиями можно оплачивать покупки.
Исследователи рассказывают, что потратили на изучение проблемы более двух лет и очень долго откладывали публикацию информации об уязвимостях. В настоящее время им все же удалось привлечь внимание производителей, поэтому обнаруженные исследователями бреши уже закрыты, а безопасность большинства подарочных карт улучшилась. Теперь карты комплектуются дополнительной защитой в виде пятизначных PIN-кодов или CAPTCHA для защиты от брутфорс-атак. Впрочем, безопасность пока улучшили не все. К примеру, специалисты говорят, что неназванная крупная сеть кинотеатров, а также неназванное казино до сих пор не предприняли никаких мер, и их карточки по-прежнему очень легко взломать.
