27/12/2010

Des milliers de cartes bancaires volées par une injection SQL

Une intrusion informatique intéressante, car elle illustre mon billet du 13 octobre à propos des failles de sécurité les plus exploitées par les pirates de cartes bancaires (SQL Injection et mots de passe par défaut). Ici, un tour opérator de visites en bus de la ville de New York vient de déclarer les pirates de centaines de milliers de cartes bancaires de ses clients. 

Dans une publication officielle du Departement of Justice, la société CitySights NY déclare un vol de carte. Les informaticiens de la société auraient mis 6 jours à se rendre compte que des pirates réalisaient des requêtes malicieuses sur leur base de données SQL.

L'introduction de la lettre d'avocat de Citysights est explicite : "We write to advise you of unauthorized access to a database containing personnel information [..] The incident involved a SQL injection on a web server [...]".

Évidemment, le système informatique de CitySights n'était pas aux normes, et pire, stockait les cryptogrammes visuels (CVV2) des cartes de ses clients. 

Une bonne illustration du besoin de sécurisation des systèmes informatiques. Je parie qu'auparavant les informaticiens devaient répondre des phrases du genre "Sécuriser notre système ? Nous n'intéressons personne, nous ne sommes pas la NSA" ou encore "Jusqu'ici, nous n'avons jamais été attaqués". Loin de moi l'idée d'encourager les pirates, mais il est vrai que de tels événements me donnent des exemples chiffrés lorsque j'explique que le filtrage des entrées n'est pas un luxe.

4 commentaires:

  1. Bonjour,
    Pouvons nous craindre le même type d'architecture foireuse dans l'Europe de l'ouest?

    Ce que je ne comprend pas c'est ce que peuvent bien faire ce genre de personne avec ces informations.
    Je sais qu'il existe des forums spécialisés pour la vente de ce genre d'info (genre carder.cc) mais quel est la finalité?

    Bon c'est sûr, ont peut acheter en ligne, mais soit on achète un service qu'il est facile de couper une fois qu'on a établis que l'origine du payement est frauduleux; soit un achat avec adresse de livraison et il est possible de poursuivre l'enquête et arriver au criminel non?

    (oui je vis dans un joli monde de bisounours, merci d'éclairé ma lanterne ^^)
    PS: Le liens vers le pdf pointe sur un 404.

    RépondreSupprimer
  2. Oui, nous pouvons craindre que des sites web stockent encore des numéros de carte avec CVV2 dans leurs bases de données.

    Les pirates peuvent exploiter ces informations de nombreuses façons. Ces informations peuvent être revendues sur les market place spécialisées ou pour acheter des biens, des services et des produits dématérialisés, le plus souvent à l'étranger.

    Ce qu'il faut comprendre, c'est que les cartes volées dans un pays X peuvent être utilisées dans un pays Y, qui n'a pas les mêmes contrôles.

    ps : le lien refonctionne.

    RépondreSupprimer
  3. Merci pour le lien.
    Tu veux dire qu'une carte volé au US pourrait être utilisée en France et une carte française utilisée au US sans qu'il n'y ai de poursuite internationale?
    Ce serais le cas aussi à l'intérieur de l'europe?

    J'avoue que je m'interroge car je pensais que juste certains pays ne disposais pas de lois numériques avec des accords internationaux.

    RépondreSupprimer
  4. Je ne suis pas avocat ni juriste, mais je ne crois pas trop en la collaboration internationale à propos de la fraude sur le e-commerce...à moins que cela soit à très grosse échelle comme pour fermer des gros botnets.

    RépondreSupprimer