Адрес для входа в РФ: exler.world
"Хронопей" взломали?
27.12.2010 11:58
10293
Комментарии (51)
У Курепина прочитал важное - Хронопей взломали! Цитирую:
[убрано]
Upd: Не взломали, а просто увели домен и вывесили лживое сообщение. В "Хронопее" утверждают, что ничего не было похищено.
Upd2: Но вообще когда у платежной системы запросто уводят домен - это хороший показатель их надежности.
Upd3: Почитал всякие отзывы об этом "Хронопее"... Что-то нехорошие отзывы.
Upd4: Столько всего интересного всплыло о "Хронопее". Как-то порадовался, что я через него никогда ничего не оплачивал. Теперь точно оплачивать и не буду.
Upd5: Очень мутная история. Возможно, что данные карточек все-таки поперли.
Upd6: Точно данные сперли, Синодов подтвердил. Блокируйте карточки от греха. Надеюсь, у этого "Хронопея" отберут лицензию.
Войдите, чтобы оставить комментарий.
А я позвонил в Райф блокировать карту, мне сказали, что по официальной информации Chronopay не было увода базы - был увод домена. Те, кто платил в эти дни, сам ввел свои данные на фишинговой странице.
Видимо, это официальная позиция Райфа - вряд ли девушка на поддержке по своем разумению дает такие ответы.
Видимо, это официальная позиция Райфа - вряд ли девушка на поддержке по своем разумению дает такие ответы.
А мне сегодня бодрая девушка в Ситибанке (по телефону) заявила, что Хронопей якобы передал Ситику (или какой-то там их суперсистеме безопасности) список уведенных у оного Хронопея карт. И якобы Ситик эти карты тут же блокирнул и отправил на перевыпуск. Во как.
Правда, спустя пару-тройку фраз она почему-то стала говорить, что никакого взлома не было, и Хронопей вывесил опровержение на сайте.
Как второе заявление согласуется с первым - загадка. Такое впечатление, что была дана инструкция плести все что угодно, лишь бы успокоить клиентов.
Правда, спустя пару-тройку фраз она почему-то стала говорить, что никакого взлома не было, и Хронопей вывесил опровержение на сайте.
Как второе заявление согласуется с первым - загадка. Такое впечатление, что была дана инструкция плести все что угодно, лишь бы успокоить клиентов.
1. То, что у платежной системы увели домен достаточное основание для того, чтобы сделать заключение о том, что там работают полные дегенераты.
2. Из первого вытекает то, что в случае, если данная шаражка выживет, то оплачивать через нее ничего нельзя.
3. Был угон базы или нет - это вопрос. Но угон домена уже позволяет накопить солидный список полных данных карт за короткий срок с CVV2 кодами.
4. Господа, чтобы не боятся подобных ситуаций, используйте ВИРТУАЛЬНЫЕ КАРТЫ, например Visa E-c@rd, для оплаты чего-либо в сети. И никогда не используйте карты, на которые получаете деньги и/или на которых их храните.
Вот еще пару мыслей: http://kovuru.livejournal.com/92490.html
2. Из первого вытекает то, что в случае, если данная шаражка выживет, то оплачивать через нее ничего нельзя.
3. Был угон базы или нет - это вопрос. Но угон домена уже позволяет накопить солидный список полных данных карт за короткий срок с CVV2 кодами.
4. Господа, чтобы не боятся подобных ситуаций, используйте ВИРТУАЛЬНЫЕ КАРТЫ, например Visa E-c@rd, для оплаты чего-либо в сети. И никогда не используйте карты, на которые получаете деньги и/или на которых их храните.
Вот еще пару мыслей: http://kovuru.livejournal.com/92490.html
Коллеги, я из Хронопея. Кому интересно, смотрите у меня в блоге детали - rauf.lj.ru .
Угон домена, база на месте, про сертификаты пока еще не знаю, про базу карт в сети - дал свое заключение.
Я в Хронопэе разработкой заведую, сбой в эксплуатации, извиняйте - знаю не все и не сразу.
Угон домена, база на месте, про сертификаты пока еще не знаю, про базу карт в сети - дал свое заключение.
Я в Хронопэе разработкой заведую, сбой в эксплуатации, извиняйте - знаю не все и не сразу.
r.aliev:
Я в Хронопэе разработкой заведую....
Я в Хронопэе разработкой заведую....
Гнать сцаными тряпками нужно таких разработчиков, с волчим билетом.
r.aliev: Коллеги, я из Хронопея. Кому интересно, смотрите у меня в блоге детали - rauf.lj.ru .
Угон домена, база на месте, про сертификаты пока еще не знаю, про базу карт в сети - дал свое заключение.
Я в Хронопэе разработкой заведую, сбой в эксплуатации, извиняйте - знаю не все и не сразу.
Угон домена, база на месте, про сертификаты пока еще не знаю, про базу карт в сети - дал свое заключение.
Я в Хронопэе разработкой заведую, сбой в эксплуатации, извиняйте - знаю не все и не сразу.
а кто нибудь из непричастых к хронопею и хронопевским разборкам пострадал?
ЗЫ
всетаки виза (и мастрекард) уроды. "onelogin" авторизация изначально не то что б небезопастна а просто особо опастна. но все разумные альтернативы были предусмотрительно задушены....
картинка вырисовывается - вор у вора дубинку украл под присмотром большого мошенника....
ЗЫ
всетаки виза (и мастрекард) уроды. "onelogin" авторизация изначально не то что б небезопастна а просто особо опастна. но все разумные альтернативы были предусмотрительно задушены....
картинка вырисовывается - вор у вора дубинку украл под присмотром большого мошенника....
Может, и не увели у них базу. См. заметку и комментарии http://www.fclab.ru/2010/12/27/2177/#comment-7192
Не надо ничего перевыпускать, большинство банков блокирует карту по звонку на срок до 30 дней (или до разблокировки). Заблокируйте, сохраните ваши денежки, и если кипеж окажется ложным, то разблокируйте ее.
Seneca:
Не надо ничего перевыпускать, большинство банков блокирует карту по звонку на срок до 30 дней (или до разблокировки). Заблокируйте, сохраните ваши денежки, и если кипеж окажется ложным, то разблокируйте ее.
Не надо ничего перевыпускать, большинство банков блокирует карту по звонку на срок до 30 дней (или до разблокировки). Заблокируйте, сохраните ваши денежки, и если кипеж окажется ложным, то разблокируйте ее.
Заблокированные карты не разблокируются, а только перевыпускаются, насколько я помню.
Правильно понимаю, что если что-то покупал через Softkey, то карта скомпрометирована. И как, кстати, узнать - какая процессинговая система была использована? А то давно это было...
Someone777: если что-то покупал через Softkey, то карта скомпрометирована
Не факт. История очень мутная. Один из вероятных вариантов: увели номера карт за несколько часов работы подложного сайта, а карту Синодова добавили из другого источника для создания большего шума.
Полтора года назад букет девушке покупал через эту конторку. Бежать перевыпускать карту?
Kirion: Хронопей как бы сертифицирован по PCI DSS
Это прекрасно, но есть и другие, не технологические риски. Лучше, если процессинг вообще будет банковский, от первого лица.
Cayman: Бежать перевыпускать карту?
Ага, если утекли CVV, однозначно перевыпуск. У меня есть специальная карта для Интернет-платежей, деньги на которую я перевожу только перед покупкой, а обычно она пустая.
Я через него как то епассовской карточкой хостинг на мастерхосте оплачивал. Но так как епасс загнулся - из карточки вырезан медиатр, собственно ничего не потерял 😄
Несколько месяцев назад знакомому пришло сообщение от его (!) банка (ситибанк), о том, что "КАРТА СКОМПРОМИТИРОВАНА". Банк её сразу же заблокировал, связался с клиентом, и договаривался о перевыпуске (т.е. "пожалуйста, когда Вы сможете прийти и заберать новую?").
Оказалось, что была уведена база из какого-то магазина. (т.е. даже не шлюз, а просто точка продаж)
Полагаю, что у банков с контрагентами есть для таких ситуаций специальный регламент.
Оказалось, что была уведена база из какого-то магазина. (т.е. даже не шлюз, а просто точка продаж)
Полагаю, что у банков с контрагентами есть для таких ситуаций специальный регламент.
вот же мля... я как раз недавно пользовался хронопеем... а в связи с рождеством в нашей кенгурляндии банки закрыты... уродство
Кстати, сегодня у вебмани несколько часов были проблемы... платежи не проходили, страница merchant не грузилась в принципе
Кстати, сегодня у вебмани несколько часов были проблемы... платежи не проходили, страница merchant не грузилась в принципе
Любой процессинг можно взломать, поэтому лично я больше банкам доверяю, на них по крайней мере требования безопасности в полной мере распространяются - и ЦБшные и всякие PCI DSS (если оплата по карте). Сам пользуюсь системами типа pay-web.ru, вроде без нареканий, и процессинг банковский и никакую информацию о карте не хранят (что важно).
Хронопей как бы сертифицирован по PCI DSS
"harmant: P.S. почините уже вввод твердого знака из оперы - это неуважение."
Второй раз пишу ъ Ъ из Опера 11 без всяких переделок.Может Вы у себя в Опере что-нибудь накрутили - Плагины и т.д. )
Второй раз пишу ъ Ъ из Опера 11 без всяких переделок.Может Вы у себя в Опере что-нибудь накрутили - Плагины и т.д. )
kardamon2007: "harmant: P.S. почините уже вввод твердого знака из оперы - это неуважение."
Второй раз пишу ъ Ъ из Опера 11 без всяких переделок.Может Вы у себя в Опере что-нибудь накрутили - Плагины и т.д. )
чистая 11я опера без плагинов вообще, при вводе твердого знака - включается болд
Второй раз пишу ъ Ъ из Опера 11 без всяких переделок.Может Вы у себя в Опере что-нибудь накрутили - Плагины и т.д. )
чистая 11я опера без плагинов вообще, при вводе твердого знака - включается болд
Вот его бывший партнер пишет о нем. У них конечно своя война, но информация интересная.
www.redeye-blog.com
www.redeye-blog.com
В начале осени в сети был серьезный слив хакерской инфы о хроно. Кому интересно можно хабр помучать. Суть в том, что эти ребятки хранят кучу персональной инфы о пользователе, которую Виза хранить запрещает, например те же cvv. И дело кончилось тем, что хакеры якобы ломанули сию базу и все оттуда увели. В качестве доказательств, те же хакеры выложили к отрытый доступ большой кусок базы с частично убраными номерами. Обещали если что пойдет не так, выложить всю базу в сеть. Требовали, кажется, дать по морде одному из создателей хроно - redeye. У них как я понял с ним свои не сильно законные разборки. Этот человек сам по себе "интересный", он порнухой в сети занимается. Причем как я понял, самой гнусной ее частью: изнасилования и прочее. Плюс создает леваковые сервисы по черному обналу бабла aka fethard, которые лопаются со всеми деньгами участников. Так же в сливе фигурировали ну очень похожие на правду данные о том, что хроно через свои серые дочки билит наркоту (запрещенную в США и европе фарму). Аудиозаписи были и электронка топ менеджеров. Серый процессинг разбавляют белым процессингом и на этом хорошо живут.
Что тут можно сказать в качестве резюме. У людей, которые стоят за хроно, очень большие проблемы с репутацией. И судя по тому какие волны говна время от времени на них обрушиваются в сети, проблемы эти имеют под собой реальную почву. Тем паче, что неприятности эти создают явно серьезные люди, ведущие очень грязный бизнес с которыми redeye, видимо, хорошо знаком. Выломать закрытую базу кредиток, которую явно защищали по первому классу. Дать перехват сотовых разговоров топ менеджеров и их электронную переписку. Войти с ОМОНом в офис и вынести оттуда все сейфы с доками и деньгами по фету. Мое мнение, что создавать такие проблемы могут только очень плохие мальчики, к которым Санта точно не приходил на рождество.
Что тут можно сказать в качестве резюме. У людей, которые стоят за хроно, очень большие проблемы с репутацией. И судя по тому какие волны говна время от времени на них обрушиваются в сети, проблемы эти имеют под собой реальную почву. Тем паче, что неприятности эти создают явно серьезные люди, ведущие очень грязный бизнес с которыми redeye, видимо, хорошо знаком. Выломать закрытую базу кредиток, которую явно защищали по первому классу. Дать перехват сотовых разговоров топ менеджеров и их электронную переписку. Войти с ОМОНом в офис и вынести оттуда все сейфы с доками и деньгами по фету. Мое мнение, что создавать такие проблемы могут только очень плохие мальчики, к которым Санта точно не приходил на рождество.
cvv2 в принципе запрещено хранить. существует правда возможность привязки карты к платежной системе(например пейпал), но она не хранит данный код. поэтому если банком установлен для карты обязательный ввод этого кода для каждой операции, то такую карту к платежной системе не привязать.
поэтому увод домена намного более опсен увода базы, ибо можно разместить липовую форму и собирать полные данные о карте, включая cvv2.
поэтому увод домена намного более опсен увода базы, ибо можно разместить липовую форму и собирать полные данные о карте, включая cvv2.
Советую погуглить Врублевский, fethcard что бы понять что за контора, и что за хозяин
Mike V: Советую погуглить Врублевский, fethcard что бы понять что за контора, и что за хозяин
Да, вот я и написал, что отзывы очень паршивые. И контора явно мутная.
Увести домен - это уже взлом. Причем очень серъезный. Повешать на оригинальный домен - фишинговый сайт с оригинальным дизайном - и все - кранты, даже за очень короткий промежуток времени можно очень круто поживиться и навсегда дискредитировать систему. Повезло, что это сделали хулиганы, а не кто-то с более серъезными намерениями.
P.S. почините уже вввод твердого знака из оперы - это неуважение.
P.S. почините уже вввод твердого знака из оперы - это неуважение.
harmant: P.S. почините уже вввод твердого знака из оперы - это неуважение.
Может, лучше вы Оперу почините, чтобы она нормально работала со стандартной библиотекой, с которой все остальные браузеры работают без каких-либо проблем?
Я про этот хронопей узнал 2 недели назад - оплачивал покупки на Softkey. У них в выборе способа оплаты - Visa и Mastercard, но имя процессинга не указано. Меня перекинули на хронопей, я ввел все данные, оно задумалось, потом заявило "ошибка". Позвонил в службу поддержки, там сказали странное: "да, мы видим, что вы пытались оплатить, но платеж не прошел из-за нашей службы безопасности. Пожалуйста, отсканируйте свою карточку, убрав средние цифры, и пришлите нам. А в понедельник придет служба безопасности и проведет ваш платеж".
Поскольку дело было в субботу утром, ждать двое суток не улыбалось. Позвонил в поддержку Softkey, и очень удивился. "Да, у нас оплата через Chronopay часто проходит с проблемами. Попробуйте выбрать другой процессинг, у них такиг проблем нет". Выяснилось неочевидное - если в способах оплаты выбрать Visa или Mastercard, то тебя автоматом отправят на Chronopay, который глючит (и Softkey об этом знает). Если же нужен процессинг, который работает нормально - нужно выбрать "другие способы оплаты", раскрывающийся список промотать вниз и в самом низу найти пункт "Mastercard - процессинг Cyberplat".
Почему надо было выносить глючащий процессинг на морду, а нормальный прятать - это загадка.
Отвлекся.
После общения со службой поддержки Chronopay полез искать эту фирму в гугле. Первые же результаты поиска выдали инфо о каком то взломе хронопея, который тот ли был, то ли не был летом 2010 года. Хакеры утверждали, что они утащили базу, представители Chronopay говорили, что у них все ок. При этом "якобыхакеры" утверждали, что в уведенных ими базах присутсвуют не только первые и последние цифры карточек, как положено по стандартам Visa и Mactercard, а полные номера и CVC.
Поскольку дело было в субботу утром, ждать двое суток не улыбалось. Позвонил в поддержку Softkey, и очень удивился. "Да, у нас оплата через Chronopay часто проходит с проблемами. Попробуйте выбрать другой процессинг, у них такиг проблем нет". Выяснилось неочевидное - если в способах оплаты выбрать Visa или Mastercard, то тебя автоматом отправят на Chronopay, который глючит (и Softkey об этом знает). Если же нужен процессинг, который работает нормально - нужно выбрать "другие способы оплаты", раскрывающийся список промотать вниз и в самом низу найти пункт "Mastercard - процессинг Cyberplat".
Почему надо было выносить глючащий процессинг на морду, а нормальный прятать - это загадка.
Отвлекся.
После общения со службой поддержки Chronopay полез искать эту фирму в гугле. Первые же результаты поиска выдали инфо о каком то взломе хронопея, который тот ли был, то ли не был летом 2010 года. Хакеры утверждали, что они утащили базу, представители Chronopay говорили, что у них все ок. При этом "якобыхакеры" утверждали, что в уведенных ими базах присутсвуют не только первые и последние цифры карточек, как положено по стандартам Visa и Mactercard, а полные номера и CVC.
Всегда удивляло хранение персональных данных, которые могут дать доступ к конфиденциальной информации на подключенному к сети серверу. Номер карты - да хрен с ним, эта информация не труднодоступная, а вот всё остально, пин, CVV и прочие конфиденциальные данные хранить на серваке - большая глупость. Зачем такие данные нужны? Если действительно хранили, значит это может быть провокацией? А может кто-то в этом был заинтересован?
Доверяю только Альфа-клику и PayPal. Похоже не зря
Доверяю только Альфа-клику и PayPal. Похоже не зря
А я уже и не помню, пользовался я им, или нет.
HappY:
А я уже и не помню, пользовался я им, или нет.
А я уже и не помню, пользовался я им, или нет.
Например оплата услуг МТС из мобильного помощника работает через него
В Твиттере пишут, что сломали только сайт и повесили вот это.
CVV не могут в базе хранится ни в каком виде
CVV не могут в базе хранится ни в каком виде
Kirion:
CVV не могут в базе хранится ни в каком виде
CVV не могут в базе хранится ни в каком виде
Некоторые процессинговые системы все равно хранят, несмотря на запрет:(
Kirion:
CVV не могут в базе хранится ни в каком виде
CVV не могут в базе хранится ни в каком виде
А вот это похоже на правду.
Теги
Информация
Что ещё почитать
Артур, ты король
08.07.2024
30
Эскалирующие лестницы рулевых водок
19.07.2024
55
Зарегистрированный избинг тотальных ведер
13.09.2024
85
