Создатели платежной системы Click2Gov уведомили власти американского города Санкт-Петербург в штате Флорида о взломе своего сервера и компрометации персональных сведений посетителей интернет-портала. Авторы платформы не уточнили, какая именно информация попала в руки злоумышленников, однако, по мнению аналитиков, речь идет о реквизитах банковских карт пользователей сервиса. Эксперты считают, что с начала года не менее двух десятков аналогичных веб-ресурсов того же разработчика стали источниками утечки данных.

Сервис Click2Gov создан компанией Superion по заказу государственных органов и предоставляет пользователям возможность оплачивать коммунальные услуги, парковку и другие муниципальные сборы через Интернет. Как заявили разработчики системы, скомпрометированными оказались данные жителей Санкт-Петербурга, которые совершали финансовые транзакции с 11 августа по 25 сентября 2018 года. Киберпреступники атаковали интернет-портал разработчика, но взлом не затронул операции, совершенные по каналам телефонной службы и при помощи электронных чеков, а также оффлайн-платежи.

Инцидент в Санкт-Петербурге стал не первым нападением на серверы Click2Gov. Сведения о направленной атаке на ресурсы финансового сервиса появились после того, как в мае 2018 года стало известно об утечке на портале оплаты муниципальных услуг города Окснарда. В дальнейшем Superion подтвердила еще четыре взлома своей системы в разных регионах США. В июне компания уведомила государственные органы о необходимости установки патча для компонента Oracle WebLogic, который содержал уязвимости и мог стать причиной компрометации данных.

По информации компании Risk Based Security, еще не менее 18 серверов Click2Gov по всей стране подверглись взлому с весны прошлого года. Эксперты сделали такой вывод на основании жалоб на несанкционированное списание денежных средств с банковских карт пользователей финансового портала.

В сентябре 2018 года специалисты FireEye разобрались в деталях атак на Click2Gov. Как заявили эксперты, злоумышленники загружают на сервер JSP-оболочку SJavaWebManage и активируют режим отладки, чтобы видеть данные банковских карт в незашифрованном виде. Киберпреступники извлекают журнал платежей при помощи утилиты Firealarm, а для поиска необходимых сведений применяют инструмент Spotlight.

Таким же образом, через панель разработчика, может быть похищена информация и с других сайтов. На прошлой неделе ИБ-специалист Боб Дьяченко (Bob Diachenko) сообщил, что нашел в Интернете более 500 ресурсов с активным PHP-отладчиком. В ряде случаев в нем содержались пароли к базам данных, интерфейсу API и другие важные сведения.

Категории: Мошенничество, Хакеры