27 декабря на главной странице сайта платёжной системы Chronopay появилось сообщение о том, что её базу данных взломали, что привело к “полной утечке всех имеющихся персональных данных пользователей Хронопей за 2009-2010 годы, включая полные номера кредитных карт и cvv-кодов”. В сообщении пользователям системы было рекомендовано немедленно заблокировать свои банковские карты – во избежание понятно чего.

Однако спустя несколько часов администрация сервиса официально объявила, что никакого взлома не было. А был лишь якобы захват доменного имени компании, благодаря которому злоумышленники смогли подменить главную страницу компании и вывесить “ложное предупреждение”. А система Chronopay, дескать, в октябре прошла сертификацию Payment Card Industry Data Security Standard, и нынешние “наскоки” взломщиков – это лишь “волна чёрного пиара с целью дискредитации сервисов компании Chronopay”.

Проблема, однако, в том, что, как выяснилось позднее, злоумышленники подменили и страницу, через которую осуществлялись платежи, и как минимум собрали урожай чуть более чем в 800 номеров кредитных карт и CVV-кодов. Ну а в половине второго днём некий блоггер Chronofail объявил от лица взломщиков, что им удалось в третий раз взломать эту систему и что у них в распоряжении данные миллионов карт – все ssl-сертификаты с ключами и паролями.

В этом году у Chronopay действительно была масса проблем: минимум 3 DDoS-атаки, кроме того, летом в Сети была распространена база кредитных карт (в которой содержались только их номера), якобы угнанная у Chronopay.

По данным CNews, днём Chronopay удалось связаться с хостинг-провайдером, услугами которого пользовались злоумышленники, и заблокировать ложные заглавные и платёжные страницы; однако к вечеру взломщики восстановили “свою” страницу компании, переведя её на новый хостинг.

На данный момент адрес Chronopay.com не открывается, на заглавной странице Chronopay.ru какая-либо информация о происшедшем отсутствует.

UPD: Рекомендуется к прочтению комментарий от руководителя по разработкам софта в компании Chronopay, по словам которого, взлома как такового действительно не было, а продемонстрированные сотни угнанных номеров – частично фикция, частично утренний “перехват”.