У меня зазвонил телефон

[spamsink]

- Алло, это такой-то?
- Да, слушаю.
- Из Юнайтед Эйрлайнз говорят. Вы сейчас не покупали билет из Сан Франциско в Гонолулу на завтра за $2000 на свою Мастеркард, кончающуюся на 9197? (Я и забыл, когда последний раз этой карточкой пользовался - хорошо, что это был единственный мой Мастеркард - от Ситибанка. В кошельке я ее не ношу, поэтому потерять не мог, но куда сунул, тоже не помню.)
- Ни в коем случае!
- Тогда позвоните, пожалуйста, в банк и ликвидируйте ее.

Было уже пора ехать на работу. Приезжаю, звоню в банк.

- Нет, я этой карточкой не пользуюсь, не помню ее полного номера.
...
- Вот мой SSN.
...
- Вот девичья фамилия матери.
...
- Каким банком эмитирована? Ситибанком, каким же еще?
- А еще каким?
- Не понял!?
- У нас тут написано два банка. Не скажете второй - будем домой звонить.
- А подать сюда Ляпкина-Тяпкина того, кто понимает!

В общем, разобрались. Кроме билета Юнайтеда в Гонолулу за $2000, злоумышленники успели купить и билет на Virgin за $600. При умении редактировать PostScript в онлайновых посадочных талонах - очень удобно.

Upd: Просто закрыть скомпрометированную карточку невозможно. Сначала нужно сменить ей номер, и только потом - закрыть.

Comments

[is-isis.livejournal.com]

Ouch. My sympathies to you!

[spamsink]

Да ерунда, десять минут, и нет проблем. Вот если бы это была карточка, на которой масса автоматических оплат, и все их нужно было бы переделывать...

Но откуда они взяли информацию, я удивляюсь - неужели в одной из украденных баз?

[maksa.livejournal.com]

А почему вообще решили позвонить проверить? Это обычная практика?

[spamsink]

Обычная, если система распознает необычный паттерн использования. Мне как-то позвонили и спросили, не потерял ли я карточку, когда я с интервалом в полчаса на одной и той же бензоколонке заправился дважды.

[saccovanzetti.livejournal.com]

вот как их воруют и где, мне интересно. у меня та же история была почти - только позвонили лишь когда кредит лимит переполнился.

[spamsink]

Разные торговцы (не только онлайновые) хранят их в базах данных, и эти базы время от времени воруют.

[oldjackaroo.livejournal.com]

Хм, а ведь действительно, если напечатать посадочный талон на свое имя на любое проданное место в самолете, и никто другой на это место не придет, то имя пассажира нигде не будет сверяться с базой данных авиакомпании. В штрих-коде наверняка фамилии пассажира нет.

Зато как легко было бы поймать вора - приходи с нарядом полиции к нужному месту в самолете. К сожалению, у них на такие операции ни времени, ни денег нет...

[spamsink]

В штрих-коде, скорее всего, есть, но кто ж там смотрит, что написано на самом талоне, когда толпа в самолет валит? Сосканировалось, и ладно.

[oldjackaroo.livejournal.com]

В этом случае система могла бы отказаться принимать талон. Скорее всего, она ведь не примет посадочный талон от другого рейса, почему бы ей не сверяться с базой данных и для сверки фамилии? Но скорее всего, там для фамилии просто нет места. Могли бы втиснуть туда хэш фамилии, но я не настолько высокого мнения об их системах.

[spamsink]

Смотрите: секьюрити сверяет только фамилию, напечатанную открытым текстом, с документом пассажира. У гейта сканируется только штрих-код - сверять то, что написано на мятой бумажке, с тем, что высвечивается на дисплее, нет времени.

Места в двумерном штрих-коде более чем достаточно

[http://users.livejournal.com/_rowan_tree_/]

Ой, не надо хэш фамилии: вот у меня с ребенком фамилии отличаются на одну букву (на последнюю "а"), так мы уже забодались объяснять это банкам, страховкам, и прочим, и так и живем. Зато сразу понятно, откуда письмо: если мою фамилию переврут, то ему из универа, а если его, то из моей страховки ;-) Но автоматическую систему это собьет нафиг.

[oldjackaroo.livejournal.com]

К данному случаю это не относится, поскольку сверялся бы только хэш фамилии, внесенной в базу при покупке билета, с этим же хэшем, закодированным в штрих-коде на талоне, сгенерированном этой же системой из этой же фамилии. Т.е. хоть "Cherezkolenonoguzaderishchenko" туда введи, проблемы не будет. Но, как выше отметил spamsink, это не поможет выявить поддельные посадочные талоны, если на них оставлен старый хэш код, а фамилия изменена.

[oregosha.livejournal.com]

Ой. Интересно, что позвонили из компании, а не из банка! Ну, хорошо всё, что хорошо кончается.

[sab123.livejournal.com]

Это потому что если что - будет нагрета именно компания. Хозяин карточки может заявить о неавторизованной транзакции в течение 2 месяцев. Продавец нормально получает деньги от банка только после этого времени, и если транзакция оказывается поддельной, то он их не получает.

[malaya-zemlya.livejournal.com]

>Скорее всего, она ведь не примет посадочный талон от другого рейса, почему бы ей не сверяться с базой данных и для сверки фамилии?

Примет. Я только сегодня летел рейсом Юнайтед (из Гонолулу в Сан-Франциско :)), и по ошибке сунул при посадке им не тот талон. Система все равно нашла мое имя и правильное место.

Security hole

[malaya-zemlya.livejournal.com]

Интересный момент:

$2000 - это потолок цены. Нормальный билет стоит баксов 400. Значит, скорее всего билет покупался не для полета, а чтоб обналичить. Стало быть, есть способ сдать билет, купленый по кредитке, и получить взамен живой кэшняк. Загнать билет на eBay или еще как за день сложно. Тогда, скорее всего, сдают в саму авиакомпанию. Имеем exploit: по ворваной креде покупается самый дорогой билет, билет сдается, но деньги просят положить не обратно на кредитку, а выдать наличными. Если united позволяет такие финты проделывать, то позор им. Они что, документов не проверяют?

Re: Security hole

[spamsink]

Никто никогда кэш при возврате купленного кредиткой не дает, потому что продавец на этом потерял бы 2-2.5% цены. Предлагают или вернуть на ту же кредитку, или получить кредит от продавца для будущих покупок (авиабилеты при этом, естественно, можно будет покупать на любое имя) - в случае большой авиакомпании это не сильно хуже, чем кэш.

Re: Security hole

[malaya-zemlya.livejournal.com]

Да, точно. У меня даже есть такой ваучер дома. Имени на нем не написано. Годен для любых рейсов United в 48 континентальных штатах. Интересно, это последняя стадия конверсии, или все таки как-то можно в кэш перевести?

Re: Security hole

[spamsink]

Ebay? Интересно, за сколько процентов потенциальный покупатель согласится возиться?

Re: Security hole

[malaya-zemlya.livejournal.com]

Покупатель согласен возиться за 50-75%

http://shop.ebay.com/items/?_nkw=united+travel+certificate

Похоже, это действительно эксплоит : )

[stumari.livejournal.com]

наверное, да, из украденных баз,
я как раз на днях не мог заплатить одну Ситибанковскую карточку на их сайте - написано "возможно украдена, потому заблокирована", звоню им, WhatTheF..., они говорят, "у одного магазина украли базу, они нам передали, мы все наши карточки из нее меняем, вам уже новую послали, ждите" - это хорошо, но вообще у меня к ним претензии, причем только к этой карточке (совместной с АТ&Т), на ней стоит какая-то суперчувствительная система, кототрая постоянно дает false-alarms (причем только эта, у нас еще две карточки от них, так на них никогда ничего подобного не было), все ей кажется подозрительным, тут же блокируют покупку, звонят домой, если не дозвонятся - блокируют карточку, уже 5-6 раз такое было, один раз из-за этого заказ (мебель) опоздала на 2 недели (ну плюс не повезло, в пятницу в интеренете заказали, когда нам звонили, нас не было, пока мы им перезвонили, магазин закрылся до понедельника, и транспорт у них был раз в две недели)),
но самое интересное, что единственный случай, когда моей карточкой правда воспользовался кто-то, они упустили :(
Причем, как я понимаю, там не надо было быть ХерлокХолмсом, чтобы понять - кто-то с другим именем, другим адресом заплатил за интернет $25 (т.е. возможно даже не вор, а честно опечатался в номере карточки)