Kibernetinio saugumo ekspertai iš populiariausiose interneto parduotuvėse rado spragas, leidusias jiems greitai surasti kreditinių kortelių duomenis, kurie įprastai turi būti akylai saugomi. Niukastlo universiteto mokslininkai perspėjo pažeidžiamas svetaines ir jų kūrėjai jau ėmėsi lopyti pastebėtas „skyles“.
Doktoranto Mohammedo Aamiro Ali vadovaujamas tyrėjų grupė sukūrė specialią programą, kuri vienu metu „kreipėsi“ į dešimtis skirtingų interneto svetainių, imituodama mokėjimo procedūrą.
Šiam algoritmui užteko nurodyti pirmus šešis kortelės numerio skaičius – toliau jis savarankiškai pradėjo „spėlioti“ bei testuoti galimus duomenų – kortelės numerio, galiojimo datos ir saugumo kodo – derinius.
Visus juos sistema iš karto testavo, bandydama prisijungti ir „sumokėti“ įvairiose internetinėse parduotuvėse.
Šis metodas toks sėkmingas dėl to, kad skirtingos elektroninės parduotuvės bei svetainės, kuriose galima mokėti kreditine kortele, prašo suvesti skirtingus duomenis, būtinus patikrinti kortelės tikrumą. Todėl algoritmas persijojęs skirtingas svetaines, per keliolika ar keliasdešimt sekundžių sugebėjo atkurti kortelės saugos duomenis.
„Tokios atakos mokėjimų sistemose įdiegtas funkcijas, turinčias patikrinti kortelių tikrumą, panaudoja priešingam tikslui – surinkti ir atkurti visus saugos duomenis“, – rašoma Niukastlo universiteto mokslininkų ataskaitoje.
Šis metodas sudaro galimybę kibernetiniams nusikaltėliams pasinaudoti pastaruoju metu vis dažnesniais įsilaužimais į didžiųjų IT kompanijų duomenų bazes.
Nors po tokių masinių vagysčių dažniausiai tikinama, kad įsilaužėliai nuskaitė tik nedidelę dalį jautrių duomenų, jų pakanka, kad aukščiau aprašytu algoritmu galima būtų atkurti likusią informaciją.
Mokslininkų vykdomo eksperimento metu tik kelios svetainės užfiksavo tai, kad vienu metu buvo siunčiamos užklausos į dešimtis ar net šimtus svetainių.
Daugumoje kitų interneto puslapių tokie veiksmai neįjungė jokių pavojaus signalų, todėl mokslininkai savo sukurtu algoritmu kreditinės kortelės duomenis galėjo „atspėti“ per maždaug šešias sekundes.
Tyrimą atlikę Niukastlo universiteto mokslininkai pasidalino savo rezultatais su 36 svetainėmis, kuriose jie panaudojo kortelių duomenis rankiojantį algoritmą.
Dalis jų kūrėjų pataisė kortelių duomenis tikrinančias sistemas, kitos apribojo leidžiamą tokių veiksmų skaičių, tačiau likusių 28 svetainių savininkai nesiėmė jokių veiksmų.
Kol kas nepastebėta ženklų, kad kibernetiniai nusikaltėliai naudotų tokį metodą, tačiau mokslininkai mano, kad jų tyrimo rezultatai įrodo šio būdo praktiškumą – tad tik laiko klausimas, kada jis bus panaudotas nusikaltėlių.