Attacco a Heartland Payment Systems
Otilia Rus
Pierpaolo Basso
Heartland Payment Systems
• Una delle più grandi società di transazioni elettroniche
• Fortune 1000 company (2008)
• Intermediario tra i POS e le reti di Visa, Mastercard, America Express, ecc..
• Più di 250 mila clienti gestendo 4,2 miliardi di transazioni per un
ammontare di 80 miliardi di dollari all’anno
Gli attaccanti
Albert Gonzalez
• a 14 anni hackera il sito della NASA
• inizialmente membro del gruppo Shadowcrew in in seguito collabora con l’FBI, in cambio dell’immunità , per per arrestare il resto dei suoi membri
• screen names: soupnazi, cumbajohny, segvec
• pianifica e porta a buon termine gli attacchi a numerose compagnie Heartland P.S,Hannaford Brothers,TJ Maxx,7-Eleven,ecc
• «Operation Get Rich or Die Tryin’» riguarda l’attacco a Heartland
• la sua rete comprende
Programmatori / Hacker : Patrick Toey, Stephen Watt e Annex e Grig(EU)
Criminali : Maksym Yastremskiy (UA) , moltipli soggetti russi
Metodo,vulnerabilità e scopo
Il metodo usato per compromettere la rete di Heartland è quello della SQL Injection (tramite il Leaseweb Server e l’ESTHOST Server)
La SQL Injection inserisce comandi addizionali al codice degli web script
Il codice modificato è stato localizzato in una pagina web in cui veniva fatto il login – pagina utilizzata da più di 8 anni
Questo codice era pervaso da una vulnerabilità che:
•Non è stata rilevata né dagli audit interni ed esterni di Heartland né dalle procedure di monitoraggio interno del sistema
•Ha consentito l’estensione dell’attacco dalla rete aziendale alla rete del sistema di pagamento
Scopo
catturare i dati- in chiaro- delle carte di credito mentre questi transitavano all’interno del sistema di elaborazione del pagamento
contraffare carte di credito per un valore, sul mercato nero, di 10$ - 50$/pcs