В эти дни в Лас-Вегасе проходит настоящая «хакерская неделя»: конференции BSides, Black Hat и DEF CON следуют прямо друг за другом. Как и всегда в это время года из Вегаса приходит множество интересных новостей. К примеру, ИБ-специалисты Уильям Капут (William Caput) а Сэм Райнталер (Sam Reinthaler) представили на конференции BSides доклад, посвященный повальной небезопасности подарочных карт.

«Около половины всей индустрии [подарочных] карт пользуются услугами одного единственного производителя, и они столкнулись c “о, черт!” моментом. Некоторые из них игнорируют проблему до тех пор, пока исследование не будет обнародовано публично, и уже тогда они будут вносить изменения», — рассказал Капут журналистам издания The Register.

По словам исследователей, корень проблемы кроется в наплевательском отношении к безопасности. Дело в том, что большинство подарочных карт оснащаются 16-значными номерами, однако первые 12 символов таких номеров – это простейшая арифметическая прогрессия, тогда как последние 4 цифры рандомизированы. По сути, подобрать номера карточек можно просто увеличивая или уменьшая неслучайную часть номера.

Специалисты рассказали, что для генерации новых карт достаточно вооружиться инструментом Burp Intruder и простейшим устройством для чтения и записи карт (исследователи приобрели свой кардридер  MSR606 за $80 на Amazon). Капут объясняет, что любой желающий может набрать в магазине «пустых» карточек, просчитать по ним номера других карт, а затем брутфорсом в онлайне вычислить карты, на которых уже есть денежные средства. После для клонирования карт используется кардридер, и готовыми копиями можно оплачивать покупки.

Исследователи рассказывают, что потратили на изучение проблемы более двух лет и очень долго откладывали публикацию информации об уязвимостях. В настоящее время им все же удалось привлечь внимание производителей, поэтому обнаруженные исследователями бреши уже закрыты, а безопасность большинства подарочных карт улучшилась. Теперь карты комплектуются дополнительной защитой в виде пятизначных PIN-кодов или CAPTCHA для защиты от брутфорс-атак. Впрочем, безопасность пока улучшили не все. К примеру, специалисты говорят, что неназванная крупная сеть кинотеатров, а также неназванное казино до сих пор не предприняли никаких мер, и их карточки по-прежнему очень легко взломать.



3 комментария

  1. Themistocles

    28.07.2017 at 07:26

    Просто так, взять и набрать карт в магазине?

    • Мария Нефёдова

      Мария Нефёдова

      28.07.2017 at 11:37

      Цитируя первоисточник: «Anyone can grab a handful of unloaded gift cards from stores, Caput explained, and then back-count the numbers to find valid cards with money on them». Так что, по всей видимости, это как раз не проблема

      • john_

        31.07.2017 at 16:40

        Карты пустые можно купить на площадках. В том числе amazon, eBay. Это наименьшая проблема. Авторы правы.

Оставить мнение