#Como os hackers deram uma lição Subway $ 3 milhões em ponto-de-venda de segurança
Update: essa história foi corrigido e alterado com base em informações recebidas de Richard James de sendpace.com.
Para milhares de clientes de restaurantes Subway todo os EUA ao longo dos últimos anos, pagando por suas sub $ 5 footlong foi um bilhete para ter seus dados de cartão de crédito roubado. Em um esquema que remonta pelo menos a 2008, um grupo de hackers romeno é acusado de ter roubado dados de cartões de pagamento a partir do ponto-de-venda (POS) Sistemas de centenas de pequenas empresas, incluindo mais de 150 franquias restaurante Subway e pelo menos outros 50 pequenos varejistas. E os varejistas tornou possível por praticamente deixar seu dinheiro gavetas abertas para a Internet, deixando o anel de hackers ao longo $ 3 milhões em cobranças fraudulentas.
Numa acusação formal aberta no Tribunal Distrital dos EUA de New Hampshire em 8 de dezembro, os hackers são acusados de ter recolhido os dados de crédito e débito de mais de 80 mil vítimas.
"Este é o crime do futuro", disse Dave Marcus, diretor de pesquisa de segurança e comunicações da McAfee Labs, em entrevista à Ars. Em vez de vir com armas e roubando o caixa, disse ele, os criminosos podem-alvo empresas de pequeno porte, "root-los de todo o planeta, e roubar digitalmente."
As ferramentas utilizadas no crime estão amplamente disponíveis na Internet para qualquer pessoa disposta a assumir os riscos e as práticas das pequenas empresas de segurança, geralmente pobres e confiança em comum, pacotes de software de baixo custo para executar suas operações torna-os presas fáceis para os grandes golpes como este, Marcus disse.
Embora a escala deste anel especial pode ser significativo, os métodos utilizados pelos atacantes eram pouco sofisticados. Segundo a acusação, os sistemas atacados foram descobertos através de uma varredura de portas alvo de blocos de endereços IP para detectar sistemas com um tipo específico de software de acesso remoto de desktop que roda neles. O software fornecido uma porta traseira ready-made para a hackers para obter acesso aos sistemas POS. O PCI Security Standards Council, que rege cartão de crédito e de débito do cartão de pagamento sistemas de segurança, exige autenticação de dois fatores para acesso remoto a sistemas POS algo das aplicações utilizadas por esses varejistas claramente não tinha.
"Com o cumprimento do PCI, os aplicativos não devem ser nesses sistemas", disse Konrad Fellmann, auditoria e conformidade gerente de SecureState, uma empresa de segurança de TI com uma prática em auditoria de segurança de varejo, em entrevista ao Ars. Mas os pequenos retalhistas que não armazenam os dados do cartão de crédito não são obrigados a ter o mesmo nível de auditoria que as empresas maiores, Fellmann disse.
No caso de restaurantes Subway, esses requisitos foram fornecidos aos franqueados. Mas de acordo com Evan Schuman, editor de tecnologia de comércio a retalho local StorefrontBacktalk, alguns dos franqueados "directamente e ostensivamente ignorada" segurança Subway e padrões de configuração POS. "Não é como eles tinham que instalar alguma coisa e eles não fizeram", disse Schuman Ars. "Eles fizeram isso de forma proativa", disse ele, download de software de baixo custo ambiente de trabalho remoto a partir da Internet e se recusar a usar o ponto-a-ponto criptografia como Subway ditado.
O Departamento de Justiça alega que os hackers tiveram acesso ao software de desktop remoto através de adivinhação ou "cracking" as senhas que foram configurados com. Fellmann não se surpreende, com base em sua experiência com os varejistas. Senhas fracas, como "senha", são uma das coisas mais comuns que ele descobre durante POS testes de penetração, disse ele. "Algumas pessoas, de lhes dizer o que é necessário, e prefiro não fazê-lo. Eles tinham as ferramentas, e poderia ter facilmente bloqueado [o ataque]. Se eles estivessem usando um aplicativo validado POS, o vendedor deve fornecer um plano de implementação , que teria incluído certificando-se de ter um firewall no lugar. "Mas, disse ele," essas pessoas não estavam pensando em ponto de venda de segurança, eles estavam apenas pensando em fazer um sanduíche. "
Skimming até o
Uma vez que eles estavam, os hackers, em seguida, implantado um conjunto de ferramentas de hacking para os sistemas de POS, incluindo software de registro que registraram todas as entradas para os sistemas, incluindo scans de cartão de crédito. Eles também instalaram um trojan, XP.exe, para os sistemas para fornecer uma porta dos fundos para se reconectar com os sistemas para permitir a instalação de malware adicional e evitar qualquer atualizações de software de segurança.
Dados coletados dos madeireiros foi publicado pelo malware para FTP "dump" sites em um número de servidores Web em os EUA criaram com domínios registados através GoDaddy.com eles usando os dados do cartão de crédito roubados. Além de usar os dados roubados para registrar seus próprios domínios e pagar por serviço de hospedagem, os hackers periodicamente arredondado para cima os dados da transação de dumping e mudou-se para sendspace.com, um site de transferência de arquivos. Richard James de sendspace.com diz que sua empresa colaborou com o FBI na investigação do hack. "Sendspace [é] que hospeda um arquivo e site de transferência usado por milhões todos os dias", disse ele em um e-mail para Ars Technica ", e como tal pode realmente ser usado para atividades que são contra os nossos TOS e que nós não toleramos. "
Alguns dos dados foi utilizada para imprimir cartões de crédito falsificados usando cartões de plástico branco e embossing máquinas. Um dos hackers alegou, Cezar Iulian Butu, estava gerando cartões falsificados com uma máquina de estampagem de uma casa na Bélgica em Outubro de 2010, e trabalhando com um grupo, usado os cartões ", entre outros usos [para] fazer apostas em locais francesas "tabaco" lojas ", o Departamento de Justiça disse em sua apresentação. O restante dos dados roubados foi vendido em blocos para outros criminosos de o servidor Sendspace.
De acordo com um relatório da Schuman, Metro corporativa de TI e uma empresa de cartão de crédito descobriu a violação de dados "quase simultaneamente". Subway Empresa Imprensa Gerente de Relações com Kevin Kane disse Ars que "os caras tecnologia que lidavam com este se mudou e colocou passos no lugar [para bloquear o roubo de dados], logo que descobriu." Ele disse que a empresa não iria discutir as medidas tomadas, como "não queremos entregar o projeto" a outros potenciais agressores. E Kane acrescentou que Subway tinha sido solicitado pelo Departamento de Justiça para não comentar sobre outros detalhes do caso, pois é parte de uma investigação em curso.
Mas não teria tomado cyber-segurança gênio para descobrir que algo estava errado. Os domínios dump site registrado pela hackers incluiu "tushtime.info" e "justfuckit.info", que, se qualquer tipo de log de tráfego foi feito em sistemas de POS, certamente teria despertado a atenção de um administrador do sistema.
Fonte:http://arstechnica.com/business/news/2011/12/how-hackers-gave-subway-a-30-million-lesson-in-point-of-sale-security.ars
Traduzido pelo Tradutor do Google.
Nenhum comentário:
Postar um comentário