Читаем Kingpin полностью

Изделия от Maksik’а были феноменальны, с высоким процентом успеха на кассе и с громадной выборкой BIN’ов. Как и у Макса, карты Maksik’а были получены при проведении их в PoSтерминалах торговых точек. Но вместо набивания очков на маленьких магазинчиках и ресторанах, Maksik получал его карты из гораздо меньшего числа гигантских целей: Polo Ralph Lauren в 2004; Office Max в 2005. В течении трех месяцев, Discount Shoe Warehouse потерял 1.4 миллиона карт, полученных из 108 магазинов в 25 штатах, попавших прямо в базу данных Maksik’а. В июле 2005, рекордное число в 45.6 миллионов дампов были украдены из принадлежащей TJX торговой сети T. J. Maxx, Marshalls, и HomeGoods.

Это было то время, когда подобные утечки могли оставаться в секрете между хакерами, компаниями, и федеральными правоохранительными органами, а пострадавшие клиенты держались в неведении. Чтобы подтолкнуть компании сообщать об утечках, некоторые агенты ФБР следовали негласному принципу убирать имена компаний из обвинительных актов и пресс–релизов, защищая корпорации от плохой рекламы в виду их ничтожной безопасности. В случае 1997 года с Карлосом Сальгадо младшим – первая крупномасштабная онлайн кража кредитных карт – власти убедили судью, выносящего приговор, навсегда опечатать судебный протокол, из-за страха, что пострадавшую компанию ждет «потеря бизнеса в виду сложившегося мнения, что компьютерные системы могут быть уязвимы.» Следовательно, восемьдесят тысяч жертв никогда не были уведомлены, что их имена, адреса и номера кредитных карт были выставлены на продажу в IRC.

В 2003 году штат Калифорния эффективно прекратил подобные сокрытия, когда законодательной властью был принят SB1386, первый национальный закон об обязательном раскрытии утечек. Закон обязывал взломанные хакерами организации, которые вели бизнес в Золотом Штате, оперативно предупреждать потенциальных жертв кражи личных данных об обнаруженной утечке. В последующие годы сорок пять других штатов приняли подобные законы. Теперь ни одна значительная утечка данных о покупателях не оставалась в секрете надолго, с момента обнаружения компанией и банками.

Заголовки вокруг брешей в гигантских магазинах только добавили блеска Maksik’ому продукту – он не пытался скрыть тот факт, что торговал дампами из торговых сетей. Когда атака на TJX появилась в новостях в январе 2007 года, детали, которые были обнародованы, также подтвердили то, о чем многие кардеры уже подозревали: у украинца был хакер в США, снабжающий его дампами. Maksik был посредником таинственного хакера из штатов.

В середине 2006 года хакер, по всей видимости, был в Майами, где он запарковался у двух магазинов Marshalls, принадлежащих TJX, и взломал их WiFi. Отсюда он прыгнул в локальную сеть и пробился к штаб-квартире корпорации, где он запустил пакетный сниффер, чтобы поймать вживую транзакции кредитных карт из магазинов Marshalls, T. J. Maxx, и HomeGoods по всей стране. Сниффер, как будет позже обнаружено расследованием, работал незамеченным семь месяцев.

У Макса был соперник в Америке, и чертовски хороший.

Благодаря в большей степени хакеру Maksik’а и Max Vision’у, популярное мнение среди потребителей, что веб-транзакции были более безопасны, чем покупки в реальной жизни, теперь стало полностью ошибочно. В 2007 году большинство скомпрометированных карт были украдены из розничных магазинов и ресторанов. Проникновения в огромные магазины приводили к компрометации миллионов карт за раз, но дыры в маленьких точках продаж были более распространены – анализ Visa обнаружил, что 83 процента утечек кредитных карт были из магазинов, обрабатывающих миллион или меньше Visa транзакций в год, при этом большинство краж происходило в ресторанах.

Макс пытался удержать источники его дампов в секрете, ложно утверждая в постах на форуме, что данные получены из центров обработки кредитных карт, чтобы сбить следователей с пути. Но Visa знала, что PoSтерминалы в ресторанах были под ударом. В ноябре 2006 года компания выпустила брошюру для индустрии услуг в сфере питания, предупреждающую о хакерских атаках, происходящих через VNC и другие программы удаленного доступа. Макс, не смотря на это, продолжал находить постоянный поток уязвимых закусочных.

Но Максу этого было недостаточно. Он не уходил в бизнес кражи данных, чтобы быть вторым из лучших. Maksik стоил ему денег. Даже Крис теперь покупал у двоих: у Макса, и у Maksik’а, в зависимости от того, какой продавец предложит ему выгодную сделку с лучшими дампами.

По указанию Макса, Ти в течении нескольких месяцев подружилась с украинцем и убеждала его начать торговлю на Carders Market’е. Maksik вежливо отказал и предложил посетить его когда-нибудь в Украине. Получив отказ, Макс сбросил перчатки и дал Tи троянскую программу для отправки Maksik’у, надеясь получить контроль над базой дампов украинца. Maksik высмеял попытку взлома.

Возможно, Максу было бы комфортней, если бы знал, что не он единственный был разочарован серьезной безопасностью Maksik’а.