影响上亿人的支付卡数据泄露

iso60001  1768天前

22.JPG

那么当时美国第六大支付处理器是在2009年宣布其处理系统在前一年被违攻击。

几天之内,它被列为有史以来有史以来最大的卡数据泄露 。有人估计有1亿张卡片和650多家金融服务公司受到损害,耗资数亿美元。 检方表示 ,三名企业受害者报告有3亿美元的损失。

这个“有史以来最大规模”的名称适用于Heartland,但它是针对主要网络的全球黑客攻击和数据泄露计划中的众多企业受害者之一。总的来说,负责Heartland攻击的黑客圈子泄露了1.6亿个信用卡号码:这是美国最大的此类计划。个人消费者也受到打击,招致法院文件称通过身份盗窃造成的“不可估量”损失,包括与被盗身份和虚假费用相关的成本。

这可能是一个老破口,但它并没有收集到灰尘。

周三,美国新泽西州检察官办公室宣布 ,属于破坏Heartland,其他信用卡处理商,银行,零售商和其他公司受害者的黑客圈的两名俄罗斯人已被送往联邦监狱。

他们都在2013年承认有罪 。

37岁的俄罗斯国民弗拉基米尔沃克曼先前曾承认一项阴谋未经授权使用受保护电脑的罪名,以及一项串谋诈骗罪。他被判处12年有期徒刑。 34岁的莫斯科的Dmitriy Smilianets先前承认犯有串谋诈骗金融机构的罪名,并被判处51个月21天监禁:服刑时间。

“With Sophos we’ve had zero ransomware infections”Start an online demo of Sophos Intercept X in less than a minute.Start an online demo因此,这使得它下降了三倍:臭名昭着的美国“superhacker”和突破背后的巨大黑客环境策划者Albert Gonzalez 于2010年3月被判处有期徒刑 20年。

三下来,三更多去。在逃犯名单上:亚历山大·加里宁与Drinkman一起,据称专门负责渗透网络安全并接触企业受害者的系统;另一名俄罗斯黑客Roman Roman Kotov据称专门从事企业网络挖掘以盗取有价值的数据;以及据称向该团伙提供匿名网络托管服务的乌克兰人Mikhail Rytikov。

这些阴谋分子将被剽窃的数据交给Smilianets出售;把卖不出来的数据收入分出来也是他的工作。

该团伙的目标公司包括纳斯达克,7-Eleven,家乐福,JCP,汉纳福德,Heartland,Wet Seal,Commidea,Dexia,JetBlue,道琼斯,Euronet,Visa Jordan,全球支付,Diners Singapore和Ingenicard。

他们通过在线论坛或直接向个人和组织销售财务数据 – 卡号和相关数据(他们称之为“转储”) – 将其转化为利润。检察官称Smilianets将这些数据专门卖给身份盗窃批发商。

每个被盗的美国信用卡号码和数据的收益率为10美元,每个欧洲卡号和数据为50美元,加拿大信用卡和数据为15美元。重复客户和散装购买者获得折扣。然后,购买者会将每个数据转储编码到空白塑料卡的磁条上,并通过从ATM取款或用卡购买东西来兑现。

为了掩盖他们的踪迹,Rytikov据称允许他的互联网服务提供商(ISP)的客户窃取信息,表面上看起来很安全,他知道他永远不会记录他们所做的事情,也不会向警方报告。

这些共谋者通过使用和灰尘一样古老的攻击撬开公司网络:SQL注入。

SQL注入攻击不仅刺破了所有这些公司的隐藏,尽管SQL注入漏洞很好地暴露了他们的软肋。在穿透网络之后,攻击者将通过调整公司网络上的设置来避免检测,以便安全机制不能记录他们的行为,或者他们设法弄清楚如何完全避开安全软件的保护。

黑客还使用嗅探器 – 识别,收集和窃取网络数据的程序。一旦他们有了它,他们将它发送到位于世界各地的一系列计算机,存储它,直到它们最终出售它。

因此,不,这不仅仅是SQL注入漏洞导致公司和消费者流失数亿美元。无论是在这些漏洞中,还是在黑客身上,懒散都是其中的一部分。毕竟,这些人不是精英黑客: 他们在很小的时候就被抓到,因为他们在网上发布了他们的假期快照,并让他们的手机将他们的位置广播到他们的小道上。

但它表明,如果一家公司将其柔软和肉质的部分暴露于互联网,你能走多远。

正如Naked Security的Mark Stockley 所指出的那样 ,编码一个网站以防止它最有可能面临的各种攻击(SQL注入是Akamai的互联网安全报告状态中的常见最爱),这是一个古老的故事。大多数情况下,强化防御来抵御它们并不是奇特的工作:它只是做了很多乏味的工作,而是彻底地做了。

如果网站编码正确,那么任何人在输入字段中输入的内容都会被清理干净,直到它不会造成任何伤害。如果网站被正确编码,那么SQL注入和XSS攻击早已消失。

SQL注入可以通过使用参数化数据库查询的简单方便而被杀死 – 但前提是你必须随时随地使用它们。


◆来源:naked

◆本文版权归原作者所有,如有侵权请联系我们及时删除

最新评论

昵称
邮箱
提交评论