Dmitry Morozovsky (dmarck) wrote,
Dmitry Morozovsky
dmarck

TWIMC: Chronopay

[Update 2011-01-19]:Уточняю: на момент публикации опубликованный приватный ключ соответствовал сертификату, предъявляемому SSL-сайтом secure.chronopay.com
На 19 января 2011 года это не так.
[/Update]



[UPDATE] По крайней мере сертификат для secure.chronopay.com соответствует ключу.

Serial Number:
4c:cb:22:24:c6:c1:7e:a5:5e:0d:b3:39:33:2f:f8:0a
Signature Algorithm: sha1WithRSAEncryption
Issuer: O=VeriSign Trust Network, OU=VeriSign, Inc., OU=VeriSign International Server CA - Class 3, OU=www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD.(c)97 VeriSign
Validity
Not Before: Jul 5 00:00:00 2010 GMT
Not After : Aug 5 23:59:59 2012 GMT
Subject: C=NL, ST=Noord Holland, L=Amsterdam, O=CHRONOPAY B.V., OU=E-Commerce, OU=Terms of use at www.verisign.com/rpa (c)05, CN=secure.chronopay.com

[/UPDATE]


Тут народ закричал про Хронопей и "увод их базы".

Смотрим данные на домен:

Whois Server Version 2.0
Domain Name: CHRONOPAY.COM
Registrar: NETWORK SOLUTIONS, LLC.
Whois Server: whois.networksolutions.com
Referral URL:
Name Server: NS01.ANOTHERBEAST.COM
Name Server: NS02.ANOTHERBEAST.COM
Status: clientTransferProhibited

Updated Date: 27-dec-2010
Creation Date: 25-feb-2003
Expiration Date: 25-feb-2012


Выделено мною. Увели домен.

Впрочем, остаётся открытым вопрос, как построены информационные структуры у PCI DSS сертифицированной конторы, осуществляющей платежи, что авторизационная информация у регистратора ключевого домена становится доступна неустановленному злоумышленнику.

Update: Надо ещё поанализировать полученные данные, но есть серьёзное подозрение, что взлом крайне серьёзен; во всяком случае, нечто похожее на закрытые ключи SSL сертификатов представлены.
Tags: security
Subscribe

  • Косит пристально

    ну вот, теперь ещё и ВадВад (инфаркт, как говорят) Upd: для незнакомых -- Гущин, один из пионеров Рунета This entry was originally posted at…

  • Наблюдательного

    (из сторонних обсуждений) не признавать себя мудаком (в особенности в ситуациях, когда ты им реально выглядел, не говоря уж о тех когда являлся; но…

  • об всё и не всё

    вот же ж блин вертелось на подкорке, и почему не вылезало? нет ответа а дядя Лёша всё-таки гений http://woozle.net/mp3/06-kt.mp3 This entry…

  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 42 comments

  • Косит пристально

    ну вот, теперь ещё и ВадВад (инфаркт, как говорят) Upd: для незнакомых -- Гущин, один из пионеров Рунета This entry was originally posted at…

  • Наблюдательного

    (из сторонних обсуждений) не признавать себя мудаком (в особенности в ситуациях, когда ты им реально выглядел, не говоря уж о тех когда являлся; но…

  • об всё и не всё

    вот же ж блин вертелось на подкорке, и почему не вылезало? нет ответа а дядя Лёша всё-таки гений http://woozle.net/mp3/06-kt.mp3 This entry…