mercoledì 14 settembre 2016

Rubati 324.000 record finanziari delle carte di credito con numeri CVV da un gateway di pagamento

Swati Khandelwal

thehackernews.com



Circa 324.000 utenti hanno probabilmente avuto il loro record di pagamento rubati  dal gateway di pagamento globale BlueSnap o dal suo cliente RegPack ; Tuttavia, la società non ha ammesso la violazione dei dati. BlueSnap gateway globale di pagamento che permette ai siti web di acquisire i pagamenti da parte dei clienti, offrendo servizi commerciali, mentre RegPack è una piattaforma globale  di iscrizione on-line che utilizza BlueSnap per elaborare le transazioni finanziarie per le sue iscrizioni on-line .

La violazione dei dati è stata inizialmente riferita al 10 luglio, quando un hacker ha pubblicato un link su Twitter, con un file che contiene circa 324.000 record presumibilmente rubati a Waltham, Massachusetts- da BlueSnap.

Il tweet è stato poi cancellato, ma un esperto di sicurezza australiano Troy Hunt ha scaricato una copia per la revisione successiva e per analizzarne i dati e dopo aver analizzato, ha scoperto che i record di pagamento trapelate sono molto probabilmente legittime.

I dati trapelati sono delle carte di pagamento, compresi i codici CVV

I dati contengono i dettagli degli utenti registrati tra il 10 Marzo 2014 al 20 maggio 2016 e comprende nomi, indirizzi e-mail, indirizzi fisici, numeri di telefono, indirizzi IP, oltre alle ultime quattro cifre della carta di credito, anche i codici CVV, e dati delle fatture contenenti i dettagli degli acquisti .

Secondo Hunt, che possiede il servizio notifica delle violazioni 'sono stato [1]Pwned', alcune prove con i nomi e i file che contengono 'BlueSnap' e 'Plimussuggerisce che i dati provengono da BlueSnap.

Plimus è il nome originale di BlueSnap, che è stato rinominato  private equity Great Hill Partners che  ha acquisito per $ 115 Milioni nel 2011.

Tuttavia, dal momento che in aprile 2013, RegPack ha utilizzato la piattaforma di pagamento di BlueSnap, potrebbe essere possibile che i dati rubati siano presi da RegPack.
"Abbiamo ottenuto 899 consumatori totalmente separati del servizio RegPack ... che mandano i loro dati diretti a RegPack che passano i dati di pagamento su BlueSnap per l'elaborazione," ha spiegato Hunt in un  post del suo blog  .
"A meno che non mi manchi un pezzo fondamentale del flusso di lavoro ... sembra che la responsabilità quasi certamente si trova in una di queste due parti."

Qualunque sia la fonte, la preoccupazione principale è che a più di 320.000 utenti sono state rubate le informazioni finanziarie e circolano in giro nel web. 

Anche se i dati di pagamento non contengono numeri di carta di credito completi, come ha sottolineato Hunt, i criminali informatici possono abusare delle informazioni compromesse, particolarmente i codici CVV che sono dati di pagamento molto importanti, e possono essere utilizzati per condurre transazioni senza la "presenza carta " .

Inoltre, le ultime quattro cifre del numero della carta di credito di un utente può essere utilizzata anche per la verifica dell'identità che è molto utile nel condurre attacchi di ingegneria sociale.

Hunt ha contattato BlueSnap così come RegPack, ma entrambi negato di aver subito una violazione dei dati.

Egli ha anche caricato ben 105.000 indirizzi e-mail su  Have been pwned , in modo da poter ricercare il tuo indirizzo sul sito, così da poter verificare da voi stessi , se vi sono delle violazioni.




Note di SD:

1. Pwned: Una corruzione della parola "proprietà". Ciò trae origine da un gioco online chiamato Warcraft, dove una mappa progettista errata "di proprietà". Quando il computer ha battuto un giocatore, che doveva dire, così e così "è stato di proprietà."

Invece, ha detto, così e così "è stato pwned."

Significa fondamentalmente "possedere", o ad essere dominato da un avversario o una situazione, in particolare da qualche dio-like o un computer simile forza.
"L'uomo, I rock al mio lavoro, ma ho ancora ricevuto una valutazione negativa. Mi è stato pwned."

Reazioni:

0 commenti:

Subscribe to RSS Feed Follow me on Twitter!