mPay i MasterCard Mobile, a Heartbleed
Wyciek danych był, jest i zawsze będzie poważnym problemem, wpływającym nie tylko na bezpieczeństwo klientów, ale i na wiarygodność danego serwisu, z którego te dane wyciekły.
Około miesiąca temu serwis Wykop.pl i Niebezpiecznik informowali o poważnym wycieku danych kart płatniczych osób, które korzystały z MasterCard Mobile oraz mPay, za pośrednictwem strony cardmobile.pl.
Wyciek ten spowodowany był błędem w bibliotece OpenSSL, zwanym Heartbleed, który umożliwiał odczytanie przez osoby nieupoważnione wszelkich danych zaszyfrowanych za pomocą SSL (Secure Socket Layer) i TLS (Transport Layer Security) i obecnych w pamięci serwera. Nazwa Heartbleed (ang. krwawienie serca) pojawiła się stąd, iż ww. błąd zaistniał w rozszerzeniu Heartbeat (ang. bicie serca). O Hearbleed informował również serwis Niebezpiecznik.pl, który podjął się przeskanowania sieci szukając serwerów opartych na SSL. Ich liczba – 28 581 134, z czego podatnych na lukę Heartbleed – 615 268. Problem dotknął tysięcy serwerów, w tym np. kanadyjskiej skarbówki.
Wracając do mPay i MasterCard Mobile, użytkownik wykorzystywał te dwa serwisy do płatności np. za parkowanie, Internet, przelewy P2P czy doładnie z poziomu telefonu komórkowego. Dodawał tam dane swojej karty kredytowej i na tym ta płatność polegała. Oba serwisy przez kilka dni były narażone na ataki Hearbleed, czyli osoba nieuprawniona mogła mieć dostęp do szczegółów naszego konta i danych dodanych przez nas kart płatniczych. Jak informował również jeden z użytkowników Wykop.pl, niejaki DOgi, po zgłoszeniu problemu do mPay przez kilka dni nie było reakcji z ich strony. Dodatkowo serwis posiadał nieważny certyfikat SSL.
Błędem była również zmiana hasła, gdyż nie dość, że nie pomagała zabezpieczyć się przez dostępem do naszego konta, to jeszcze na serwer trafiało nasze nowe hasło – a stamtąd mógł mieć do niego dostęp każdy, kto wykorzysta lukę Heartbleed.
Dzięki zaangażowaniu serwisu Niebezpiecznik.pl, który jak wspomniano wyżej jako jeden z pierwszych opublikował artykuł o problemie zarówno mPay, jak i MasterCardMobile załatały lukę (6 dni po publikacji) wydając oświadczenie o „natychmiastowej reakcji” na Heartbleed.
Tagi: kradzież danych, MasterCard Mobile, mPay