Кража номеров пластиковых карт — одно из самых распространённых преступлений современности. Крадут из баз, крадут из банкоматов, крадут в точках продаж, переделывая кардридеры… Но гремящая сейчас история с кражей сразу сорока миллионов (!) номеров у американского ритейлера Target выделяется даже на таком фоне. И не только из-за масштаба случившегося: а это, получается, второе или третье в истории крупнейших ограблений в США. Произошедшее замечательно также чисто технически: как именно удалось провернуть операцию — не понятно в целом до сих пор.

Target Corp. — владелец второй по величине сети универмагов в США. Держа на балансе около двух тысяч торговых центров (в основном в Штатах, но и несколько сотен в ближнем и дальнем зарубежье), она уступает только знаменитой Walmart. Вместе с тем есть параметр, по которому Target, без сомнения, впереди любого другого ритейлера на планете: речь о сборе, анализе и применении информации о покупателях. Вот уже десятилетие, начав ещё когда термин Big Data не был модным, Target всеми правдами и неправдами стяжает сведения о людях, посетивших её магазины. Коллекционируются не только списки покупок, не только адреса проживания, но даже траектории движения индивидов по торговым залам (через их мобильники), номера автомобилей на парковке и активность в социальных сетях (последнее покупают на стороне). Затем всё это используется для обнаружения полезных корреляций и стимулирования продаж отдельных товаров и товарных категорий (см. «Как и для чего ритейлеры следят за покупателями?»). Хорошо это или плохо, не так важно, важнее другое: Target привыкла и, вероятно, умеет обращаться с ценными персональными данными.

И тем сильней шок от вскрывшегося на прошлой неделе. 18 декабря мелькнуло первое, ещё неофициальное известие о том, что Target стала жертвой электронного ограбления и расследует масштабную утечку номеров пластиковых карт и сопутствующей информации. Сутки спустя компания подтвердила это сообщение, уточнив, что злоумышленники вломились в её компьютерные системы 27 ноября и орудовали до 15 декабря. В результате было унесено до 40 млн номеров, имён покупателей, дат экспирации карт и CVV-кодов (к счастью, только тех, что записаны на магнитном стрипе; коды CVV2, печатаемые на обороте карты, скомпрометированы не были), а также почтовых индексов магазинов, в которых конкретной картой производилась оплата (знание этого помогает красть с неё деньги). Украденных сведений достаточно, чтобы изготовить дубликаты карт, но недостаточно, чтобы получить по этим дубликатам деньги в банкомате или совершить интернет-покупку; такими дубликатами злоумышленники смогут расплачиваться только офлайн.

«Target» в переводе с английского означает «цель». Не лучшее имя для компании, ставшей жертвой кибератаки...
«Target» в переводе с английского означает «цель». Не лучшее имя для компании, ставшей жертвой кибератаки…

Разразившийся скандал получился беспрецедентным. Мало того что жертвами ограбления оказались столь многие, так ещё и случилось это в самый разгар предпраздничного шопинг-сезона, включающий “чёрную пятницу“. Сделанное компанией уточнение, что проблема затронула лишь офлайновые магазины в США (интернет-покупатели могут не беспокоиться), не только не остудило страстей, но даже вызвало новый всплеск: быстро стало понятно, что Target не знает, как именно злоумышленники собрали и вынесли свой опасный груз. Судя по всему, ритейлер вообще пребывал в счастливом неведении, пока его не известили сторонние спецы по безопасности. В середине декабря сотрудники одного или нескольких американских банков, занимающиеся мониторингом кардерской активности, приобрели на чёрном рынке сотню–другую номеров карт, выпущенных их банками, — и установили, что все карты «засветились» в магазинах Target. Это и положило начало расследованию. Но вот как именно ворам удалось собрать сорок миллионов карт по всей стране, точно не известно и сейчас.

Что мы знаем? Во-первых, даже если у Target есть единая база данных, в которой хранятся номера карт и сопутствующие сведения, выкрали не её. Во-вторых, подобные кражи обычно совершаются путём «доработки» конкретного кардридера, через который покупатель проводит свою карту при оплате на кассе — но в данном случае речь идёт минимум о сорока тысячах кардридеров, что, конечно, делает физические манипуляции с ними невероятными. Вот так и сформировалась доминирующая на данный момент теория: атака была технически нетривиальной и подразумевала участие осведомлённого человека внутри компании.

Сначала злоумышленники заручились поддержкой сотрудника Target, имеющего доступ к серверу (или системе серверов), с которого распространяются прошивки для кассовых аппаратов или кардридеров компании. На втором этапе эту прошивку дизассемблировали и внесли в неё некоторые изменения. На третьем – модифицированная прошивка вернулась на сервер и была (под видом апдейта) разослана по магазинам, после чего начался собственно сбор номеров. Предполагается, что вынести накопленные сведения из корпоративного интранета помог тот же завербованный сотрудник. Возможно даже, что его личность уже установлена, но компания молчит, не желая потерять лицо: имя всплывёт лишь много месяцев спустя, когда массовая истерия уляжется.

Пока нанятая Target «лидирующая» фирма по расследованию компьютерных преступлений совместно с Секретной службой США пытаются выйти на грабителей, на кардерских сайтах уже торгуют унесённым добром. Это скриншот с одной из таких торговых площадок: видно, например, что кредитные карты идут дороже дебетовых — поскольку и «выкачать» из них можно больше (фото: Krebs on Security).
Пока нанятая Target «лидирующая» фирма по расследованию компьютерных преступлений совместно с Секретной службой США пытаются выйти на грабителей, на кардерских сайтах уже торгуют унесённым добром. Это скриншот с одной из таких торговых площадок: видно, например, что кредитные карты идут дороже дебетовых — поскольку и «выкачать» из них можно больше (фото: Krebs on Security).

Тем временем награбленное уже затопило чёрный рынок: на кардерских сайтах обнаружены гигантские, вплоть до миллиона номеров в каждом, карточные «дампы» из магазинов Target. В розницу за одну карту просят от 20 долларов (сравнительно высоко оценён, в частности, пластик, эмитированный банками за пределами США: Сингапур, ОАЭ, Южная Корея). Банки отчасти уже в курсе случившегося и намерены перевыпустить «тысячи» скомпрометированных карт до конца года. Однако, учитывая, что украдены были номера не каждой карты, отметившейся в Target в период с конца ноября по середину декабря, можно предположить, что точных сведений у банков нет. Следовательно, лучшим решением для людей, отоварившихся в Target за последний месяц, будет проявить инициативу и как можно скорее перевыпустить карту.

Даже ленивым американцам, впрочем, будет сравнительно легко выйти из этой ситуации без потерь: опротестование карточных платежей для них — рутинная операция; в худшем случае останутся на время разбирательства (месяц) без привычной кредитной линии. Хуже придётся Target. Один судебный иск против неё уже подан, компания предоставила на минувшие выходные 10-процентную скидку на всё для всех — и всё равно ожидается, что обыватель теперь дважды подумает, куда отправиться за покупками и подарками к Рождеству. Результаты расследования могут ещё усугубить её положение.

А представьте, чем обернулось бы происшествие такого масштаба в России! Всё необходимое у нас уже есть: культура потребления «пластика» сформировалась, есть и подходящий по размерам ритейлер — «Магнит» (около 7 тысяч «карманных» магазинов). Случись утечка на десятки миллионов номеров — и финансовыми проблемами для одной компании не отделаемся: это будет национальная трагедия. Ведь опротестовать платёж по карте в России практически невозможно – а значит, инцидент приведёт к потере доверия не к одному конкретному продавцу, а к карточной системе в целом (и без того смущающей старшее поколение). Странно, что российские взломщики — похоже, орудовавшие в Target — пока игнорируют отечественного производителя.

В статье использованы иллюстрации Krebs on Security, Kevin Dooley.