В понедельник сайт платежного сервиса ChronoPay пострадал от атаки хакеров и данные о картах его клиентов оказались в сети интернет. По-видимому, была взломана страница самого сайта chronopay.com Злоумышленники произвели также дефейс сайта, то есть вывесили там поддельное сообщение от имени главы компании Павла Врублевского. Это очень неприятный инцидент для всех участников электронной торговли, которая во многом держится на доверии к провайдерам электронных платежей, в данном случае — компании ChronoPay.
Доступ к картам пользователей сервиса мог быть получен за счет подмены платежных форм, на которые перенаправляются реквизиты банковской карты. Это объясняет и то, что похищенные данные о картах содержат не только номер карты, имя и фамилию, но коды cv2 и cvv. По правилам платежных систем нельзя хранить эти коды, ChronoPay не мог этого делать и, скорее всего, в базе данных у него их нет. Их можно было получить, скопировав данные с поддельной платежной формы.
Серьезность этого инцидента будет зависеть от того, что на самом деле произошло. Все выглядит так, будто взломан только сайт. И таким способом был получен доступ к данным тысяч карт. Если это так, то это инцидент «средней тяжести». Если же были похищены данные миллиона или более карт, то для российского сегмента сети интернет это серьезно.
В таком случае многие люди подумают о том, чтобы воспользоваться иными способами оплаты в сети интернет. Альтернативой тут могут выступать электронные деньги или электронные карты, специально предназначенные для такого рода платежей. Например, виртуальные предоплаченные карты Visa и Mastercard с фиксированным номиналом.
Если злоумышленник похитит данные о виртуальной карте, он не сможет использовать больше той суммы, что на ней лежит. Интересы клиентов хорошо защищены при таких платежах, так как даже если по вашей карте будут произведены несанкционированные транзакции, от них можно отказаться. Бремя доказывания того, что вы не покупали и не оплачивали услуги, будет нести поставщик услуг. Это, конечно, добавит головной боли, но вероятность того, что законный держатель карты может вернуть деньги, в отличие от банкоматной транзакции, достаточно высока.
В этом году уже было две так называемые DDoS-атаки на сайты Assist.ru и того же ChronoPay. Но тогда не были похищены данные, просто клиенты не могли воспользоваться сервисами, в частности, не могли купить билеты «Аэрофлота». Это тоже были очень неприятные события, однако они были менее значимыми. Одно дело — когда отказывает сервис и совсем другое — когда у вас похищают данные банковской карты.
Борис КИМ
Автор — председатель комитета НАУЭТ по платежным системам и банковским инструментам
