备注:
CVV代码:又称信用卡安全码。通常是印刷在信用卡上面的3或4位数字,被用于证实付款人在交易时是拥有该信用卡的,以防止信用卡欺诈。
支付网关:银行金融网络系统和网络之间的接口。离开了支付网关,网银的电子支付功能也会无法实现。
“Have I Been Pwned”:检查用户是否有账户被泄露了数据,可检查Adobe、Linkedin、Dropbox等多个平台的账户。
支付网关潜藏黑客
大约32万4千名的用户的财务记录可能从支付处理器BlueSnap或其客户Regpack被盗了;然而,这两家公司都不肯承认数据泄露。
BlueSnap是支付服务商,允许网站提供商业设施获得客户支付。而RegPack则是一个全球性的网上注册平台,通过BlueSnap来处理在线交易的金融交易。
数据泄露事件最初报道于7月10日当时一名在推特Twitter公布了一个链接,指向一个包含了大约324000条财务记录的文件。据称这些记录从BlueSnap位于马萨诸塞州总部Waltham盗取。
该推特已被删除,但澳大利亚安全专家Troy Hunt复制了一份以用来回顾分析数据。经过分析,他发现泄漏的付款记录是真实的。
关键数据——CVV代码泄露
数据涵盖了2014年3月10日到2016年五月20日之间注册的用户,具体包括他们的姓名、邮件地址、居住地址、电话号码、IP地址、信用卡号码的最后四位数,和至关重要的CVV代码,并含有详细的发票数据。
Hunt说:“一些证据,比如文件中包含的'BlueSnap' 和 'Plimus'字样,暗示文件是由BlueSnap发送的。”Plimus是BlueSnap原来的名字,私募股权投资公司Great Hill Partners 以115万美元于2011年收购了它,公司便改了名字。
然而,自2013四月起,Regpack一直使用BlueSnap的支付平台,很可窃取的是Regpack的数据。
Hunt在博客中解释:“我们获悉了899个完全独立的Regpack的消费者…他们把数据直接传送到Regpack,而后又由BueSnap来处理数据。除非我错过了哪个基本的工作流程,现在貌似这两个家公司总有一家是在说谎的。”
无论泄露数据的源头在何,重点在于损失,超过32万用户的财务信息漂浮在网络上,他们的财务安全也随之漂浮在空中。Hunt强调,虽然支付数据不包含完整的信用卡号码,网络罪犯仍能肆意使用泄露的信息。特别是CVV码,它是非常有价值的支付数据,能够拿来进行“该卡不存在”的交易。
此外,任何用户的信用卡号码的最后四位数字也可以用于身份验证,在用社会工程学方法发起攻击时这真是相当有用。
Hunt联系了BlueSnap以及Regpack,但他们都否认遭到数据泄露。他还装了多达10万5千个电邮地址到“Have I Been Pwned(我被玩弄了么)”供普通用户检查自己的网址是否安全。
本文由漏洞银行(BUGBANK.cn)小编 柠檬 编译,源文译自 thehackernews.com。
作者:柠檬
链接:http://www.bugbank.cn/news/detail/57d93b284a336a7b61c8acce.html
来源:漏洞银行
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
113
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
