CDR SecUpdate 38 - Home Depot zažil peklo: 56 miliónů osobních údajů ukradeno
Sotva začal školní rok, už museli zaměstnanci amerického obchodního řetězce hasit požár. Druhého září se najednou objevilo obrovské množství kreditních karet na pultech obchodů internetového podsvětí a bankovní instituce ve Spojených státech začaly potvrzovat domněnky o masivním hackerském útoku. Ruka osudu tentokrát padla na americký řetězec pro domácí kutily Home Depot, který má zhruba 2 200 poboček po všech padesáti státech USA. Firma krádež vzápětí potvrdila s ujištěním, že se zákazníci nemusí bát o svůj PIN ke kreditní kartě. Ve stejné době však již banky hlásily prudký vzestup podvodných výběrů z účtu.
Informace o kartách se na začátku září objevily na pravděpodobně převážně ruském obchodě rescator(tečka)cc v balíčcích s označením American sanctions a European sanctions (americké a evropské sankce, může to být reakce na sankce EU proti aktivitám Ruska na Ukrajině). Kdokoliv s pár dolary v kapse si mohl (a stále může) koupit informace potřebné k vytvoření podvodné kopie karty a současně dostal jméno držitele včetně města, PSČ a název státu, ve kterém byla karta ukradena z obchodu Home Depot. Jelikož člověk většinou nakupuje blízko svého bydliště, PSČ může útočník použít k úspěšnému hledání čísla sociálního pojištění a data narození v hackerských databázích, které tyto informace prodávají. S takovou náloží osobních dat jsou pak hackeři již jen krůček k tomu, aby sáhly do vaší kapsy opravdu hluboko.
Většina bank ve Spojených státech totiž umožňuje změnu PINu na základě předložení správných odpovědí na pět bezpečnostních otázek:
- Volá zákazník z telefonního čísla, které je asociováno k jeho účtu?
- Trojmístný kód CVV na zadní straně karty
- Datum vypršení platnosti karty
- Datum narození zákazníka
- Poslední 4 číslice z tzv. Social Security number (čísla sociálního pojištění)
Bezpečnostní blogger Brian Krebs díky svým kontaktům na americké banky píše o 25 000 dolarech (cca 500 000 korunách) vybraných na základě ukradených Home Depot dat, stejně tak o 300 000 dolarech (cca 6 miliónech korun) ukradených během dvou hodin z banky na Východním pobřeží. Hackerům se podařilo díky nakoupeným informacím za pár desítek dolarů vyloupit účet. Pomohlo jim v tom také tvrzení, že jsou zrovna na výletě v Itálii, což jim zvedlo limit pro jednorázový výběr.
Požadavek na tři správně zodpovězené otázky z pěti je v tomto případě evidentně nefunkční. Podle Krebse určité instituce v Nové Anglii vyžadují všech pět klíčů k účtu a počet podvodů jim díky tomu klesl na nulu. Některé z největších bank na světě podle Gartneru však přechází k robustnějším technologiím než jsou pouhé odpovědi na otázky. Mluví se zde o biometrice hlasu, a tzv. phone printingu (nacházení unikátních charakteristik hovoru a to také na základě používaných technologií).
Jak se k problému staví Home Depot?
Hackeři poprvé napadli systémy firmy v dubnu tohoto roku. Měli tedy dlouhou dobu poměrně volné ruce a jejich sítě nasbíraly po čase tučnou kořist. Takový útok postaví firmu do nelehké situace, kdy je v sázce dobré jméno firmy a také možnost, že mnoho zákazníků v Home Depot již nikdy nenakoupí. Firma vydala na svém webu oficiální prohlášení, které staví obhajobu na faktu, že nezmizely PINy ke kartám, a současně nabízí zákazníkům monitoring kreditu zdarma. To mu sice bude v případě podvodného výběru platné jako mrtvému zimník, ale alespoň si bude moci s jistotou říci, ano byl jsem skutečně okraden.
Do velké míry pomohou paradoxně banky, které tradičně ukradené peníze bez problému vrací. Zákazníci tak o své peníze ve finále pravděpodobně většinou ani nepřijdou. Pár vrásek jim to však přinese a to v dnešním světě těsné konkurence může být výrazný problém. Na přímý dopad na dlouhodobé fungování firmy je však příliš brzy.
Platební terminály zasáhl malware na míru
Všechny retailové firmy evidentně nevylekal nedávný průnik do systémů řetězce amerických supermarketů Target, který byl do jisté míry podobný, dokonce se spekuluje o tom, že jej provedl stejný hackerský tým (minimálně se data o kartách začala prodávat na stejném místě). Tzv. point-of-sale (místo prodeje) terminály údajně napadl malware napsaný přímo na míru použitým technologiím. O těch toho popravdě zatím mnoho nevíme, takže těžko říct, jaký konkrétní útok byl v tomto případě použit.
Hackeři napodobují hardwarové vybavení automatů pro výběr, Zdroj: krebsonsecurity.com
Home Depot pouze specifikoval, že právě dokončil projekt zabezpečující platební terminály a že kanadské terminály mají již implementovanou technologii EMV Chip and PIN.
Technologie platebních terminálů by vystačily na několik knih, praktické příklady hackerských technik shrnuje Brian Krebs ve svém seriálu All About Skimmers. Standard EMV pěkně popisuje článek na wikipedii, zajímavá z hlediska odkazů je sekce Vulnerabilities (zranitelnosti). Chyby v technologii EMV Chip and PIN popisuje Barisani, Bianco, Laurie a Franken v prezentaci Chip & PIN is definitely broken [PDF] prezentované na bezpečnostní konferenci CanSecWest v roce 2011. Další detaily popisují na svém blogu. Technologii popisuje standard ISO/IEC 14443-3, který si můžete buď zakoupit na oficiálních stránkách ISO nebo najít na Googlu v pdf.
Nejjednodušší je prostě vytvořit umělý automat. Zdroj: Krebsonsecurity.com
Kaspersky Lab poskytuje zdarma kvalitní bezpečnostní whitepapery
Antivirová firma Kaspersky Lab uvolnila řadu průvodců a dokumentací týkajících se aktuálních problémů počítačové bezpečnosti. Zdarma po registraci si tak můžete stáhnout Průvodce mobilním zabezpečením a BYOD pro začátečníky i pro pokročilé nebo si přečíst správné Zásady zabezpečení informací. Za pozornost stojí také futuristický dokument Proč je komplikovanost největším nepřítelem zabezpečení IT a mnoho dalšího.
Čtete týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě.
To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.