- 26,398
- 46
- 8 Ноя 2022
Преступный Jerry’s Store доверил ИИ‑среде создание дашборда, а та открыла его всему интернету.
Подпольный магазин Jerry’s Store торговал украденными банковскими картами, но в итоге сам оставил дверь открытой. Исследователи Cybernews нашли незащищенный сервер маркетплейса и увидели 345 000 записей с платежными данными, внутренние панели, журналы проверок и схему, через которую преступники проверяли карты на Amazon, Temu, Lyft, Grubhub и других легальных площадках.
Сервер обнаружили 16 апреля. Jerry’s Store использовал внутренний инструмент для оценки карт: продавцы загружали платежные данные, а сервис показывал, какие записи еще проходят проверку и какой процент карт можно продать как рабочие. Для рынка краденых карт такая проверка напрямую влияет на цену товара.
Исследователи считают, что сервер оказался открытым из-за настройки с помощью Cursor. Операторы Jerry’s Store активно использовали ИИ-среду разработки для создания административных панелей и статистического дашборда. По журналам чата видно, что Cursor создал веб-каталог без авторизации для показа страницы и не ограничил доступ только нужным дашбордом.
Курсор генерирует и выполняет команду с небезопасной конфигурацией. Источник Cybernews.
На скриншотах Cybernews показана команда <code>nohup python3 -m http.server</code>, после которой дашборд стал доступен через файл <code>dashboard.html</code>. Такой способ подходит для быстрого локального просмотра страницы, но без проверки доступа превращает внутреннюю панель в открытую веб-страницу. В данном случае наружу попали данные, которые должны были видеть только администраторы Jerry’s Store.
В открытом доступе оказались номера карт, сроки действия, CVV-коды, имена владельцев и адреса. Панель также показывала статистику по аккаунтам, токенам, cookie, учетным данным, размерам таблиц и кодам ответов сервисов. Всего в дашборде отображались 14 таблиц, связанные с разными площадками и типами проверок.
Панель проверки кредитных карт. Источник Cybernews.
Журналы показывали попытки проверить платежи через реальные сайты. Среди записей встречались успешные ответы, отказы, ошибки авторизации, сетевые сбои и сообщения о блокировках. Отдельные разделы панели относились к Amazon, Amazon JP, Lyft, Grubhub, Sam’s Club, Temu, Elf Cosmetics и другим сервисам.
Схема работала просто. Преступники создавали сотни, а иногда тысячи аккаунтов на известных площадках, добавляли украденные карты как способ оплаты или проводили мелкие покупки. Если сайт принимал платеж, Jerry’s Store помечал карту как рабочую, после чего продавец мог выставить запись дороже.
Крупные сервисы помогали скрывать такие проверки в общем потоке операций. Amazon, Grubhub и похожие площадки обрабатывают огромное количество платежей, поэтому небольшая покупка или попытка привязать карту не всегда выглядит подозрительно. Для владельца карты такая операция может стать первым признаком, что данные уже попали к мошенникам.
Cybernews нашел на сервере почти 200 000 записей с картами, которые Jerry’s Store считал нерабочими, и более 145 000 записей с действующими платежными данными. На даркнет-рынках рабочие карты обычно продают по цене от $7 до $18 за штуку, поэтому только найденная база могла стоить от $1 млн до $2,6 млн. Реальная стоимость инфраструктуры могла быть выше, поскольку маркетплейс торговал не только попавшими в утечку данными.
Данные кредитных карт, имена и адреса жертв. Источник Cybernews.
Скриншоты также показывают Telegram-группу Jerry’s Store с 18 184 подписчиками. В канале публиковали объявления о новых партиях карт, указывали страну, процент валидных записей, цену, общее количество карт и возможность возврата. В одном из объявлений партия для США помечена как 100% valid и стоит $18, в другом набор для США и Канады заявлен с валидностью 72% и ценой $7.
Группа в Telegram магазина Jerry’s Store публикует объявления о продаже новых партий данных кредитных карт.
Переписка с Cursor, которую изучили исследователи, указывает, что у модели было достаточно контекста для понимания задачи. В чатах фигурировала система проверки кредитных карт, но защитные ограничения не помешали помощнику выдать команды для запуска панели. Издание отмечает, что случай важен не только для расследования кардинга: похожая ошибка может привести к утечке и у легальных разработчиков, если поручить ИИ настройку инфраструктуры без проверки безопасности.
Точное местоположение операторов Jerry’s Store неизвестно. Внутренние инструменты и утекшие чаты с ИИ указывают, что администратор маркетплейса свободно пишет на китайском языке. Сам сервер, по оценке Cybernews, размещался в Германии у провайдера, которого подозревают в bulletproof-хостинге, то есть в услугах для клиентов, игнорирующих жалобы и запросы на блокировку.
Jerry’s Store работает с конца 2023 года и известен в киберпреступной среде как сервис для проверки и продажи украденных карт. Основными целями площадки были владельцы карт из США и стран Евросоюза. Cybernews запросил комментарий у разработчиков Cursor и пообещал обновить материал после ответа.
С Cursor уже связывали другой громкий инцидент: в PocketOS ИИ-агент за девять секунд удалил рабочую базу данных вместе с резервными копиями. История с Jerry’s Store показывает тот же риск с другой стороны: ИИ-инструменты могут быстро помогать с инфраструктурой, но без жестких ограничений доступа одна команда превращает ошибку в утечку или потерю данных.
Подпольный магазин Jerry’s Store торговал украденными банковскими картами, но в итоге сам оставил дверь открытой. Исследователи Cybernews нашли незащищенный сервер маркетплейса и увидели 345 000 записей с платежными данными, внутренние панели, журналы проверок и схему, через которую преступники проверяли карты на Amazon, Temu, Lyft, Grubhub и других легальных площадках.
Сервер обнаружили 16 апреля. Jerry’s Store использовал внутренний инструмент для оценки карт: продавцы загружали платежные данные, а сервис показывал, какие записи еще проходят проверку и какой процент карт можно продать как рабочие. Для рынка краденых карт такая проверка напрямую влияет на цену товара.
Исследователи считают, что сервер оказался открытым из-за настройки с помощью Cursor. Операторы Jerry’s Store активно использовали ИИ-среду разработки для создания административных панелей и статистического дашборда. По журналам чата видно, что Cursor создал веб-каталог без авторизации для показа страницы и не ограничил доступ только нужным дашбордом.
Курсор генерирует и выполняет команду с небезопасной конфигурацией. Источник Cybernews.
На скриншотах Cybernews показана команда <code>nohup python3 -m http.server</code>, после которой дашборд стал доступен через файл <code>dashboard.html</code>. Такой способ подходит для быстрого локального просмотра страницы, но без проверки доступа превращает внутреннюю панель в открытую веб-страницу. В данном случае наружу попали данные, которые должны были видеть только администраторы Jerry’s Store.
В открытом доступе оказались номера карт, сроки действия, CVV-коды, имена владельцев и адреса. Панель также показывала статистику по аккаунтам, токенам, cookie, учетным данным, размерам таблиц и кодам ответов сервисов. Всего в дашборде отображались 14 таблиц, связанные с разными площадками и типами проверок.
Панель проверки кредитных карт. Источник Cybernews.
Журналы показывали попытки проверить платежи через реальные сайты. Среди записей встречались успешные ответы, отказы, ошибки авторизации, сетевые сбои и сообщения о блокировках. Отдельные разделы панели относились к Amazon, Amazon JP, Lyft, Grubhub, Sam’s Club, Temu, Elf Cosmetics и другим сервисам.
Схема работала просто. Преступники создавали сотни, а иногда тысячи аккаунтов на известных площадках, добавляли украденные карты как способ оплаты или проводили мелкие покупки. Если сайт принимал платеж, Jerry’s Store помечал карту как рабочую, после чего продавец мог выставить запись дороже.
Крупные сервисы помогали скрывать такие проверки в общем потоке операций. Amazon, Grubhub и похожие площадки обрабатывают огромное количество платежей, поэтому небольшая покупка или попытка привязать карту не всегда выглядит подозрительно. Для владельца карты такая операция может стать первым признаком, что данные уже попали к мошенникам.
Cybernews нашел на сервере почти 200 000 записей с картами, которые Jerry’s Store считал нерабочими, и более 145 000 записей с действующими платежными данными. На даркнет-рынках рабочие карты обычно продают по цене от $7 до $18 за штуку, поэтому только найденная база могла стоить от $1 млн до $2,6 млн. Реальная стоимость инфраструктуры могла быть выше, поскольку маркетплейс торговал не только попавшими в утечку данными.
Данные кредитных карт, имена и адреса жертв. Источник Cybernews.
Скриншоты также показывают Telegram-группу Jerry’s Store с 18 184 подписчиками. В канале публиковали объявления о новых партиях карт, указывали страну, процент валидных записей, цену, общее количество карт и возможность возврата. В одном из объявлений партия для США помечена как 100% valid и стоит $18, в другом набор для США и Канады заявлен с валидностью 72% и ценой $7.
Группа в Telegram магазина Jerry’s Store публикует объявления о продаже новых партий данных кредитных карт.
Переписка с Cursor, которую изучили исследователи, указывает, что у модели было достаточно контекста для понимания задачи. В чатах фигурировала система проверки кредитных карт, но защитные ограничения не помешали помощнику выдать команды для запуска панели. Издание отмечает, что случай важен не только для расследования кардинга: похожая ошибка может привести к утечке и у легальных разработчиков, если поручить ИИ настройку инфраструктуры без проверки безопасности.
Точное местоположение операторов Jerry’s Store неизвестно. Внутренние инструменты и утекшие чаты с ИИ указывают, что администратор маркетплейса свободно пишет на китайском языке. Сам сервер, по оценке Cybernews, размещался в Германии у провайдера, которого подозревают в bulletproof-хостинге, то есть в услугах для клиентов, игнорирующих жалобы и запросы на блокировку.
Jerry’s Store работает с конца 2023 года и известен в киберпреступной среде как сервис для проверки и продажи украденных карт. Основными целями площадки были владельцы карт из США и стран Евросоюза. Cybernews запросил комментарий у разработчиков Cursor и пообещал обновить материал после ответа.
С Cursor уже связывали другой громкий инцидент: в PocketOS ИИ-агент за девять секунд удалил рабочую базу данных вместе с резервными копиями. История с Jerry’s Store показывает тот же риск с другой стороны: ИИ-инструменты могут быстро помогать с инфраструктурой, но без жестких ограничений доступа одна команда превращает ошибку в утечку или потерю данных.
- Источник новости
- www.securitylab.ru
