Хакеры сообщили об утечке данных карт клиентов РЖД из-за Heartbleed Статьи редакции

Банковские карты, которыми производилась оплата билетов на сайте РЖД в период с 7 по 14 апреля, могли попасть в руки мошенников из-за уязвимости Heartbleed, сообщается на сайте «SOS! РЖД». В банке-партнёре железнодорожной компании ВТБ-24 эту информацию опровергают.

Обновлено: добавлен комментарий «Яндекс.Денег».

Обновлено: добавлен комментарий Алексея Копылова, директора по пользовательскому опыту компании Flexis, сооснователя UIDG.

Обновлено: добавлено заявление основателя «Рокетбанка».

Неизвестные хакеры предупредили клиентов РЖД о возможной утечке данных банковских карт в случае, если покупка билетов на сайте компании осуществлялась в период между 7 и 14 апреля. По их подсчётам, в общей сложности могло быть скомпрометировано около 200 тысяч карт.

В качестве подтверждения хакеры опубликовали часть этой базы — более 10 тысяч номеров карт со сроками действия, CVV-кодами и именами держателей. Часть цифр заменена на звёздочки в целях безопасности.

По словам авторов сайта, данные карт могли попасть в руки мошенников из-за уязвимости Heartbleed, которая была обнаружена и предана огласке 7 апреля. Ошибка в коде протокола OpenSSL позволяла получать несанкционированный доступ к личной информации пользователей многих популярных сервисов. Большинство из них выступили с оперативными заявлениями, часто прося пользователей сменить пароли.

По данным Roem.ru, среди опубликованных номеров более десяти карт оказались картами с идентификаторами, использующимися сервисом «Яндекс.Деньги». Такие карты выпускаются банком ТКС. Представители «Яндекс.Денег» заявили изданию, что попросили ТКС временно заблокировать карты всех пользователей, которые совершали покупки на сайте РЖД в период с 7 по 14 апреля.

То, что утечка на самом деле имела место, позже подтвердил один из пользователей Roem.ru. Директор по пользовательскому опыту компании Flexis Алексей Копылов нашел среди украденных хакерами данных информацию своей кредитной карты, которой оплачивал на сайте РЖД билет из Санкт-Петербурга в Москву.

Виктор Лысенко, основатель «Рокетбанка» (их карта была у Алексея Копылова), заявил, что все карты, «засветившиеся» на сайте хакеров, будут перевыпущены. 

РЖД и его партнёр ВТБ-24 были предупреждены об уязвимости, сообщают хакеры, однако отреагировали лишь вечером 14 апреля — то есть спустя неделю после того, как об уязвимости было широко известно. Авторы «SOS! РЖД» предлагают ВТБ-24 опубликовать список карт, которыми расплачивались за покупку билетов на сайте железной дороги между 7 и 14 апреля, а соответствующих клиентов они призывают заблокировать свои карты и перевыпустить их.

Как рассказал TJournal руководитель пресс-службы ВТБ-24 Артём Бочкарёв, информация об утечке карт неверна.

Если внимательно посмотреть на сайт, он уже сам по себе вызывает много вопросов: вместо фамилий используются цифры, сокращения, встречаются русские или неполные имена, чего не может быть в случае банковских карт. Очень похоже, что это просто фейк.Артём Бочкарев, руководитель пресс-службы ВТБ-24

Бочкарёв пояснил, что все операции с билетами РЖД идут через шлюз «Мультикарты» — партнёра ВТБ, осуществляющего процессинг платежей на сайте железнодорожной компании.

Атака должна была быть совершена не на сайт РЖД, а на шлюз. На сайте РЖД данные карт не хранятся, атак на шлюз не было, а на предмет уязвимости он проверялся.Артём Бочкарев, руководитель пресс-службы ВТБ-24

Заявление хакеров Бочкарёв назвал саморекламой: «Может быть, это какое-то детское баловство». Он также сообщил, что массовой блокировки карт клиентов банка не происходит: «Для того, чтобы блокировать карты, нужны основания, а в данном случае их нет».

По телефону пресс-службы, указанному на сайте РЖД, TJournal не дозвонился. Сами хакеры в комментарии «Цукерберг Позвонит» рассказали, что проделали операцию в учебных целях.

{ "author_name": "Никита Лихачёв", "author_type": "self", "tags": ["\u0443\u0442\u0435\u0447\u043a\u0430_\u0434\u0430\u043d\u043d\u044b\u0445_\u0440\u0436\u0434","\u0440\u043e\u043a\u0435\u0442\u0431\u0430\u043d\u043a","\u0440\u0436\u0434","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0432\u0442\u0431_24","heartbleed"], "comments": 43, "likes": 18, "favorites": 0, "is_advertisement": false, "subsite_label": "flood", "id": 50496, "is_wide": true, "is_ugc": true, "date": "Tue, 15 Apr 2014 21:01:13 +0400", "is_special": false }
0
43 комментария
Популярные
По порядку
Написать комментарий...
Изящный крюк

Платил картой на сайте РЖД вчера, менять ее не собираюсь

14
Голый химик

Same shit

0
Многие меч

платил картой на сайте РЖД позавчера, менять ее не собираюсь на ней нет больше денег ):

0
Грузинский хот-дог

ну и какого хера мой комент отправился от имени какого то ибрпгима?

0
Газетный пришелец

Этот Артём Бочкарёв, похоже, не знает, что имя и фамилия никак не проверяются процессингом и там можно хоть Муссолини вписать — оплата пройдёт.

14
Общественный рубин

Серьёзно?!

3
Важный завод

Номер карты + CVV + дата окончания, никаких имен чаще всего.

0
Немецкий браслет

да, в большинстве случаев, вы можете в пункте кард холдер вписать что угодно.

0
Ежегодный браслет

Адольф Виссарионович Муссолини

1
Нежный Кирилл

Вообще должны.
Мне вот ОЗОН развернул платеж за то, что в адресе доставки (!) имя и фамилия не совпали с карточными.

С тех пор я решил ОЗОН игнорировать.

0
Влюбленный историк

все зависит от шлюза.

0
Нервный микроскоп

Некоторые и почтовый адрес проверяют. Иногда это настраивается.

А вообще-то странно, что кто-то еще без смс-подтверждения платежи разрешает.

0
Ясный пришелец

Дело не в том, что проверяется или нет. Дело в том, что украдены данные, которые вводились пользователями до этой самой проверки. А чего они там могли навводить - это другой вопрос...

0
Газетный пришелец

Речь шла про ответ прессека, который сказал, что судя по фамилиям и именам данные фейковые.

0
Своеобразный глобус

Только у меня возможность оплаты билетов по Интернет плохо вяжется с плацкартными вагонами 40-х годов?

5
Важный завод

РЖД как обычно, плохая мина при плохой игре. Уже открыто выложили им информацию, но нет же, надо упереться рогом и говорить, что все окей.

4
Важный завод

Кстати, у нас нет никакого закона, который бы возмещал убытки от скомпроментированной карты в интернете (в отличии от ЕС, например), так что если снимут деньги - пишите пропало.

0
Правовой корабль

Читайте ФЗ «О национальной платёжной системе»

0
Таинственный коктейль

нашёл себя. перевыпустил.

2
Острый месяц

В России принято всё замалчивать и скрывать до самого конца, когда уже поздно что-то делать

2
Привычный американец

Вот и убедилась, что завести отдельную карту для платежей в интернете и класть на нее ограниченную сумму денег было очень хорошей идеей

2
Немецкий цвет

а так же отдельную карту для снятия наличных в банкоматах, отдельную карту для оплаты счетов в кафе и ресторанах и отдельную карту для кокаина и спидов.

3
Привычный американец

и отдельную карту использовать на парах вместо линейки, да

1
Ценный Валера

ржд... как же я ненавижу их сайт... почему, ну почему за 5 лет нельзя пофиксить баг с повторным вводом логина и пароля с главной страницы? Ну почему я каждый раз это делаю дважды???

2
Должный Мурод

блять как же дико это бесит

0
Правовой корабль

Это не баг, это «фича». Разные разделы сайта делали несколько разных контор, и с тех пор оно так.

0
Таинственный коктейль

господа, пострадавшие, не пора привлекать прокуратуру?

1
Творческий щит

интересно, как вы там смогли ввести имя? Можно или первые 6 цифр карты (и дальше ctrl+f по фамилии, или скроллить вручную) или просто скачать весь список в zip.

1
Таинственный коктейль

втб24 мне должен 150р.

0
Уникальный мангал

мне тоже, но думаю что не вернут:)

0
Влюбленный историк

Не нашел себя в списке. Рад.

0
Розовый историк

Как же упоительно хорошо, что я с октября фактически банкрот, с нулем по всем счетам!

0
Железный франт

Не поверил. Посмотрел. Проверил. Все так.
В общем, как нутром чуял, что не нужно оставлять данные пластиков и оплатил через один очень популярный сервис за что ему спасибо в итоге. Карту я перевыпустил, благо там это дело 1 минуты :)
Спасибо ТЖорнал :)

0
Напряженный Филипп

Но ведь мужик в чём-то прав. Данные карты вводятся не на сайте ржд, а уже на втб-шном шлюзе. Так что как минимум в список попали карты не только ржд, а как максимум карты с другого места вообще спёрли. Троян какой например насобирал

0
Взрослый чайник

Платеж был сделан на сайте РЖД 14.04.14, карту банк заблокировал сам на следующий день.

0
Террористический ГОСТ

Подскажите, какой банк?

0
Бедный алмаз

Справедливости ради, «в ближайшее время» по версии Рокетбанка — через неделю. Наивно надеялся на более короткий срок.

0
Синий паркур

В Москве?

0
Бедный алмаз

Да. Пообещали изготовить карту лишь во вторник вечером, но зная то, что самостоятельно за ней заехать наверняка нельзя (некоторое время назад они даже отказались выдать мне срочно нужную выписку со счета, пришлось ждать курьера), увижу я ее наверняка не раньше среды.

0
Таинственный коктейль

Будьте бдительны! Со мной уже связались, то ли развод, то ли не пойми что

0
Естественный космос

Меня нет, что не все кто 14 билеты купил в этом списке оказались? Похоже на информационную войну против РЖД и ВТБ

–1
Синий паркур

А почитать описание уязвимости? Она позволяет стянуть 64кб данных из оперативной памяти сервера. Естественно, нельзя посылать столько запросов и с такой частотой, чтобы не пропустить ничего-ничего.

0
Указанный хот-дог

Проверил, вместо моего имени высветилось имя какого-то левого чувака. Теперь думаю, а не на*бался ли я что слил данные своей карточки этому подозрительному сайту?

–2
Читать все 43 комментария
Обсуждаемое
Интернет
Обсуждение: Как удобнее ориентироваться по карте — по северу или по направлению движения
Одни не понимают, как можно не знать, где находятся стороны света. Другие не понимают, зачем знать, где находится север, когда есть карты с навигаторами.
Новости
ЕС представит законопроект о едином разъёме для зарядного устройства смартфонов и планшетов
Принятие проекта сильнее всего повлияет на компанию Apple, которая оснащает устройства собственным разъёмом.
Новости
В Москве пересчитают результаты электронного голосования на выборах в Госдуму. Но это не будет иметь юридической силы
Все данные по дистанционному электронному голосованию в общественном штабе предлагают выложить в открытый доступ.
Популярное за три дня
Новости
Экс-футболист сборной России Дмитрий Хохлов подал в суд на Facebook. Соцсеть считает его фамилию оскорблением украинцев
И удаляет все посты с её упоминанием.
Новости
Во время стрельбы в Пермском университете преподаватель не стал прерывать лекцию и отказался баррикадироваться
Он считает, что всё делал правильно.
Новости
Актрису из Уссурийска, пародировавшую представителя МВД в шоу Виталия Наливкина, арестовали на 10 суток
Перед этим её оштрафовали на тысячу рублей за ношение полицейской формы.
null