本文概述
信用卡黑客一语
如果你认识我, 或者已经阅读了我以前的文章, 那么你知道我在加入srcmini之前曾在一家非常有趣的公司工作过。在该公司, 我们的付款提供商每天处理的交易额约为50万美元。我的部分工作是使我们的提供商的PCI-DSS兼容, 即与支付卡行业的数据安全标准兼容。
可以肯定地说, 这不是一个胆小的人的工作。目前, 我对信用卡(CC), 信用卡黑客和网络安全非常熟悉。毕竟, 我们的工作是保护用户的数据, 以防止其被黑客入侵, 被盗或滥用。
当我看到Bennett Haselton 2007年在Slashdot上发表的文章:为什么CC编号仍然如此容易找到时, 你会想象到我的惊讶。简而言之, Haselton能够通过Google查找信用卡号, 首先通过搜索” nnnn nnnn”格式的信用卡的前八位数字, 然后使用基于数字范围的一些高级查询。例如, 他可以使用” 4060000000000000..4060999999999999″从CHASE(所有卡均以4060开头)中查找所有16位主帐户号码(PAN)。顺便说一句:这是发行人ID号的完整列表。
当时, 我并没有考虑太多, 因为Google立即开始过滤Bennett使用的查询类型。当你尝试使用Google这样的搜索范围时, Google会在一个页面上显示”你是坏人”的字样。
大约六个月前, 当我想起一个老朋友的时候, 再次想到了这个信用卡号码黑客。不久之后, 我发现了一些令人震惊的事情。不是非常令人震惊, 而是肯定令人震惊-因此我通知了Google, 然后等待。一个月没有回应后, 我再次通知他们无济于事。
通过对Haselton的旧技巧进行少量调整, 我可以使用Google信用卡号, 社会保险号以及其他任何感兴趣的敏感信息。
所以我通知了Google, 然后等待。一个月没有回应后, 我再次通知他们无济于事。通过对Haselton的旧技巧进行较小的调整, 我可以使用Google信用卡号, 社会保险号以及其他任何敏感信息。
本内特
昨天, 我的一些朋友(buhera.blog.hu和_2501)带来了我最近关注的Slashdot帖子:信用卡号码仍可支持Google。
该文章的作者再次是Bennett Haselton, 他于2007年写了原始文章, 声称仍然可以使用信用卡号进行搜索。你不能使用数字范围查询技巧, 但仍然可以做到。除了使用简单范围之外, 你还需要对查询应用特定的格式。类似于:” 1234 5678″(注意中间的空格)。该查询的命中率很高, 但很少有人真正感兴趣。参赛者中包括电话号码, 邮政编码等。并不十分令人震惊。但是, 这里出现了信用卡黑客行为。
方法论
我很好奇, 是否仍然有可能像2007年那样以在线方式获得信用卡号。作为一名优秀的工程师, 我通常会使用经过正确构造和智能处理的计划来处理事情, 而该计划必须以最高的精度完美执行。如果你尝试过该方法, 你可能会知道它可能会非常失败-在这种情况下, 你的仔细计划和工作会浪费掉。
在IT中, 即使没有充分的保证, 我们也倾向于过度智能化。我已经看到我的朋友和同事使用看似随机的输入完全破坏了应用程序。他们的成功率惊人, 投入的努力几乎为零。那时我才知道要打开一扇门, 有时候你只需要敲门。
信用卡黑客
上一段是巧妙地变相的尝试, 目的是使我在展示自己的”精英黑客技巧”时看起来像个白痴。哎呀
首先, 我尝试了几种基于范围查询的方法。然后, 我查看了高级查询以及你在一小时左右的时间内可能想到的几乎所有内容。它们均未产生明显结果。
然后我有了一个疯狂的主意。
如果过滤引擎和实际后端之间不匹配怎么办?如果我从Google收到的消息(“你是一个坏人”)不是来自后端本身, 而是来自Google实施的用于过滤诸如我的查询之类的指定过滤引擎, 该怎么办?
从架构的角度来看, 这很有道理。此类错误非常常见-我们一直在ITSEC中看到它们, 特别是在IDS / IPS解决方案中, 在常见软件中也是如此。有一个过滤程序可以处理数据, 并且仅在认为数据可接受/非恶意时才将其提供给后端。但是, 后端和筛选服务器几乎永远不会以完全相同的方式解析输入。因此, 看似有效的输入可以通过过滤器并在后端造成严重破坏, 从而有效地绕开了过滤器。
通常, 你可以通过提供各种编码的输入来触发这种行为。例如:与其使用十进制数字(0-9), 不如将其转换为十六进制或八进制或二进制?好吧, 你猜怎么着……
搜索此内容, Google会告诉你你是坏人:” 4060000000000000..4060999999999999″
对此进行搜索, Google乐于提供:” 0xe6c8c69c9c000..0xe6d753e6ecfff”。
你唯一需要做的就是将信用卡号从十进制转换为十六进制。而已。
结果包括…
- 大量的CSV文件中充满了潜在的敏感信息。
- 错误的电子商务日志文件。
- 在黑客网站(甚至Facebook)上共享敏感信息。
这真是可怕的东西。
我知道此错误不会激发任何安全性研究, 但是你已经掌握了。 Google发出了嘘声, 甚至没有给我回信。好吧, 它发生了。不过, 我并不羡慕G国的安全人员。他们必须要寻找很多东西。我在此发布有关此信用卡号黑客的信息, 原因是:
- 影响相对较小。
- 任何有兴趣和积极性的人现在都可以解决。
- 用哈瑟尔顿的话来说, 如果大型企业不承担责任并采取行动, 那么”正确的做法是对问题进行分析, 并坚持要求他们尽快解决”。
此技巧可用于查找电话号码, SSN, TFN等。而且, 正如贝内特(Bennett)所写, 这些数字比你的信用卡难得多, 因为你可以直接致电你的银行并取消该信用卡。
样本查询
警告:请勿完全使用你自己的信用卡号!
寻找以4060开头的CC PAN:4060000000000000..4060999999999999吗? 0xe6c8c69c9c000..0xe6d753e6ecfff
提供者” Telenor”提供的一些匈牙利电话号码吗?没问题:36200000000..36209999999吗? 0x86db02a00..0x86e48c07f
寻找SSN。幸运的是, 这些方法并没有返回很多有意义的结果:100000000..999999999吗? 0x5f5e100..0x3b9ac9ff
还有很多很多。
如果你发现任何令人震惊的事情, 或者对信用卡被黑客入侵感到好奇, 请将其留在评论中, 或者通过[受电子邮件保护]或通过Twitter @synsecblog与我联系。在这些情况下, 打电话给警察通常是徒劳的, 但值得一试。给定的商人或卡提供商通常更热衷于解决该问题。
从这往哪儿走
好吧, 谷歌显然必须解决此问题, 可能需要借助Visa和Mastercard等大公司的帮助。实际上, Haselton在上面链接的两篇文章中提供了许多有趣的建议。
但是, 你需要做的事情(以及为什么我写这篇文章)广为流传。信用卡欺诈是一个巨大的行业, 简单的意识可以使你免于成为受害者。此外, 如果你拥有电子商务网站或进行任何信用卡处理, 请确保你的安全。 PCI-DSS是一个很好的指南, 但是还远远不够完美。另外, 最好使用” site:mysite.com”高级查询来搜索你的网站, 以查找敏感数字。你会发现任何东西的机会非常非常渺茫, 但如果你这样做, 则必须立即采取行动。
此外, 还有一些友善的建议:你永远不要将你的信用卡信息透露给任何人。我的建议是尽可能使用PayPal或类似服务。你可以查看以下链接以获取更多信息:
- Visa的信用卡安全提示
- 花旗信用卡安全提示
还有一些一般性提示:不要下载你不需要的内容, 不要打开垃圾邮件, 并且要记住, 你的银行永远不会要求你输入密码。
顺便说一句:如果你认为没有人会愚蠢地落入这些信用卡黑客技术或在互联网上泄露他们的信用卡信息, 请查看@NeedADebitCard。
保持安全!
评论前必须登录!
注册