Лого vc.ru

Данные о банковских картах клиентов РЖД утекли из-за уязвимости Heartbleed

Данные о банковских картах клиентов РЖД утекли из-за уязвимости Heartbleed

Неизвестные хакеры на специальном сайте сообщают, что в течение недели c сайта «РЖД» из-за уязвимости Heartbleed злоумышленники имели возможность сливать данные банковских карт всех, кто оплачивал билеты на портале.

Поделиться

На сайте говорится, что «РЖД» и «ВТБ24» позволили скомпрометировать более 200 тысяч карт. В качестве подтверждения этой информации в открытый доступ  выложены данные по картам, через которые оплачивались билеты 14 апреля. В этот день в открытый доступ попала информация примерно о 10 тысячах карт и это «лишь малая часть того, что могли получить злоумышленники».

Уязвимость на сайте «РЖД» была устранена только вечером 14 апреля, спустя неделю после обнаружения уязвимости  Heartbleed

Создатели сайта рекомендуют людям, чьи данные были скомпрометированы, перевыпустить карты. 

Тот, кто хоть чуть-чуть переживает за свои или пользовательские данные, менял пароли и исправлял уязвимые системы, так быстро, как только мог. Многие компании делали это в первые часы, а то и минуты, после публичного репорта о баге. Но что делает «РЖД» и «ВТБ24»? Они целую неделю позволяют злоумышленникам сливать данные всех банковских карт, которыми люди расплачивались за билет на их сайте.

Неизвестные обратились к «РЖД» и «ВТБ24» с требованием назвать точное количество карт, прошедших за неделю через «злосчастный процессинг» и выложить публичный список карт и их масок, чтобы пользователи и банки могли их заблокировать. 

Мы не хотим, чтобы из-за халатности таких крупных организаций, страдал простой люд. Всем мир!

Редакция ЦП связалась с создателями сайта и задала им несколько вопросов. 

Как вы сумели получить доступ к информации о картах? 

Доступ к информации был получен через уязвимость в OpenSSL (Heartbleed). 

Зачем вы это сделали? 

В учебных целях. Как показывает практика, на такие вещи обычно закрывают глаза, в данной истории так не получится. Думаю вы понимаете, какие масштабы проблемы? 

Была ли какая-то конкретная цель? 

Обезопасить простой народ от кражи денег с их карт. Люди не должны страдать от раздолбайства крупных компаний. Работа с персональной информацией — это не игрушки. Основная цель — заблокировать все карты, которые прошли через этот процессинг за 7 дней. 

Почему вы прямо не связались с РЖД, а решили запустить целый сайт? 

РЖД и их мерчант (ВТБ24) неоднократно получали от нас сообщения о том, что им срочно нужно обновить OpenSSL. И не только от нас. Но реакции, как и ответов, не поступало. Сайт был сделан для того, чтобы пользователи и банки могли заблокировать скомпрометированные карты. 

И еще хотелось бы, чтобы люди понимали, что кардинг может быть и хорошим тоже. Ведь все эти данные можно было продать, или хуже — использовать. Мы против работы по всему постсоветскому пространству.

Обновлено 16 апреля, 15:40

Руководитель пресс-службы «ВТБ24» Артём Бочкарёв заявил TJournal, что информация об утечке данных неверна:

Атака должна была быть совершена не на сайт «РЖД», а на шлюз. На сайте «РЖД» данные карт не хранятся, атак на шлюз не было, а на предмет уязвимости он проверялся.

Бочкарёв также отметил, что банк не видит оснований для массовой блокировки карт.

В разрез со словами представителя «ВТБ24» идёт заявление от директора по пользовательскому опыту Flexis Алексея Копылова, который покупал билет на сайте «РЖД» 14 апреля и нашёл данные о своей карте в слитой базе.

На сайте среди опубликованных в открытом доступе данных оказались 12 карт с идентификаторами сервиса «Яндекс.Деньги», выпущенные банком «Тинькофф Кредитные Системы». Представители «Яндекс.Денег» рассказали Roem.ru, что уже приняли меры предосторожности:

Несмотря на то, что данные на сайте вызывают сомнения, еще вчера, как только появилась информация о возможной угрозе, мы попросили «ТКС» временно заблокировать карты всех пользователей, которые совершали покупки на сайте «РЖД» в период с 7 по 14 апреля.

«ТКС» отреагировал на ситуацию:

Очень много вопросов вызывает аутентичность данных, опубликованных на сайте SOS РЖД.

Мы призываем своих клиентов не вводить данные своих карт на этом сайте для проверки, а обратиться непосредственно в ТКС Банк в случае обеспокоенности на предмет компрометации своих персональных данных.

В настоящий момент мы анализируем счета тех клиентов, которые совершали покупки на сайте РЖД в период с 7 по 14 апреля. В случае подозрений на утечку данных в целях их сохранности карты будут блокироваться до выяснения обстоятельств. Хотелось бы подчеркнуть, что все карты ТКС Банка выпускаются с технологией 3D Secure, которая обеспечивает дополнительную защиту при совершении покупок в интернете и позволяет в режиме онлайн провести проверку подлинности при финансовой авторизации.

Все сервисы ТКС Банка изначально не были подвержены уязвимости Heartbleed, поскольку банк не использовал поддержку технологии Heartbeat протокола SSL ни в одной из систем, взаимодействующих с клиентами и клиентскими данными, однако мы призываем наших клиентов быть бдительными при вводе данных своих карт при оплате услуг на сторонних ресурсах.

CEO  «Рокетбанка» Виктор Лысенко сообщил ЦП, что на сайте нашлись данные 30 клиентов этого банка:

Все наши клиенты из этого списка были немедленно уведомлены. Их карты уже перевыпущены, и будут в ближайшее время бесплатно доставлены нашим любимым клиентам.

Статьи по теме
Почему Heartbleed оставался незамеченным на протяжении двух лет14 апреля 2014, 16:44
Популярные статьи
Показать еще
Комментарии отсортированы
как обычно по времени по популярности

spark.ru/startup/53497caf595a6/blog/3276 проверь у себя на сайте "дырку" в которую утекли данные банковских карт с сайта РЖД через шлюз ВТБ24

Дизайн отличный

0

Возможность комментирования статьи доступна только в первые две недели после публикации.

Сейчас обсуждают
Vladislav Kharchev

Это где, например?

МГТС разослал своим клиентам бесплатные тестовые SIM-карты вместе со счетами
0
Олег Дергилёв

C ботами работал на основной работе, как-то было очевидно, что хайп про них пустой и за этим не последует рывка.

Интересно, а рубрика с факапами на ЦП будет иметь большой успех?! Ведь примеров этого у каждого найдется немало...

5 советов о том, как провалить проект
0
XageRu
Xage

Vladislav Kharchev, у вас жена и дети есть?

«Содержать семью в Долине сложно даже на зарплату сотрудника Facebook»
0
Mikhail Kuropatkin

Пользователь должен самостоятельно решать кому доверить свои данные, ведь это ЕГО данные.
Хочешь сбор данных родной стране? нет проблем, используй только отечественное.
Попытка навязать или самоизолироваться сделает только хуже, пользователи российских сервисов за границей будут от них постепенно отказываться, свои будут относится с опаской и по возможности избегать.
В США контактик спокойно работает, и никто не пытается его ограничить, ЦРУ плохо работает?

Касперская рассказала о работе ФСБ и Роскомнадзора над перехватом и дешифровкой трафика россиян
0
Androidoff

Начнём с того, что я не давал своего согласия на войны и инфовойны. Поэтому мне плевать на их результат

Касперская рассказала о работе ФСБ и Роскомнадзора над перехватом и дешифровкой трафика россиян
0
Показать еще