Хакеры сообщили об утечке данных карт клиентов РЖД из-за Heartbleed Статьи редакции

Банковские карты, которыми производилась оплата билетов на сайте РЖД в период с 7 по 14 апреля, могли попасть в руки мошенников из-за уязвимости Heartbleed, сообщается на сайте «SOS! РЖД». В банке-партнёре железнодорожной компании ВТБ-24 эту информацию опровергают.

Обновлено: добавлен комментарий «Яндекс.Денег».

Обновлено: добавлен комментарий Алексея Копылова, директора по пользовательскому опыту компании Flexis, сооснователя UIDG.

Обновлено: добавлено заявление основателя «Рокетбанка».

Неизвестные хакеры предупредили клиентов РЖД о возможной утечке данных банковских карт в случае, если покупка билетов на сайте компании осуществлялась в период между 7 и 14 апреля. По их подсчётам, в общей сложности могло быть скомпрометировано около 200 тысяч карт.

В качестве подтверждения хакеры опубликовали часть этой базы — более 10 тысяч номеров карт со сроками действия, CVV-кодами и именами держателей. Часть цифр заменена на звёздочки в целях безопасности.

По словам авторов сайта, данные карт могли попасть в руки мошенников из-за уязвимости Heartbleed, которая была обнаружена и предана огласке 7 апреля. Ошибка в коде протокола OpenSSL позволяла получать несанкционированный доступ к личной информации пользователей многих популярных сервисов. Большинство из них выступили с оперативными заявлениями, часто прося пользователей сменить пароли.

По данным Roem.ru, среди опубликованных номеров более десяти карт оказались картами с идентификаторами, использующимися сервисом «Яндекс.Деньги». Такие карты выпускаются банком ТКС. Представители «Яндекс.Денег» заявили изданию, что попросили ТКС временно заблокировать карты всех пользователей, которые совершали покупки на сайте РЖД в период с 7 по 14 апреля.

То, что утечка на самом деле имела место, позже подтвердил один из пользователей Roem.ru. Директор по пользовательскому опыту компании Flexis Алексей Копылов нашел среди украденных хакерами данных информацию своей кредитной карты, которой оплачивал на сайте РЖД билет из Санкт-Петербурга в Москву.

Виктор Лысенко, основатель «Рокетбанка» (их карта была у Алексея Копылова), заявил, что все карты, «засветившиеся» на сайте хакеров, будут перевыпущены. 

РЖД и его партнёр ВТБ-24 были предупреждены об уязвимости, сообщают хакеры, однако отреагировали лишь вечером 14 апреля — то есть спустя неделю после того, как об уязвимости было широко известно. Авторы «SOS! РЖД» предлагают ВТБ-24 опубликовать список карт, которыми расплачивались за покупку билетов на сайте железной дороги между 7 и 14 апреля, а соответствующих клиентов они призывают заблокировать свои карты и перевыпустить их.

Как рассказал TJournal руководитель пресс-службы ВТБ-24 Артём Бочкарёв, информация об утечке карт неверна.

Если внимательно посмотреть на сайт, он уже сам по себе вызывает много вопросов: вместо фамилий используются цифры, сокращения, встречаются русские или неполные имена, чего не может быть в случае банковских карт. Очень похоже, что это просто фейк.Артём Бочкарев, руководитель пресс-службы ВТБ-24

Бочкарёв пояснил, что все операции с билетами РЖД идут через шлюз «Мультикарты» — партнёра ВТБ, осуществляющего процессинг платежей на сайте железнодорожной компании.

Атака должна была быть совершена не на сайт РЖД, а на шлюз. На сайте РЖД данные карт не хранятся, атак на шлюз не было, а на предмет уязвимости он проверялся.Артём Бочкарев, руководитель пресс-службы ВТБ-24

Заявление хакеров Бочкарёв назвал саморекламой: «Может быть, это какое-то детское баловство». Он также сообщил, что массовой блокировки карт клиентов банка не происходит: «Для того, чтобы блокировать карты, нужны основания, а в данном случае их нет».

По телефону пресс-службы, указанному на сайте РЖД, TJournal не дозвонился. Сами хакеры в комментарии «Цукерберг Позвонит» рассказали, что проделали операцию в учебных целях.

0
43 комментария
Написать комментарий...
Прекрасный Данила

Платил картой на сайте РЖД вчера, менять ее не собираюсь

Ответить
Развернуть ветку
Предвыборный мангал

Same shit

Ответить
Развернуть ветку
Выгодный рак

платил картой на сайте РЖД позавчера, менять ее не собираюсь на ней нет больше денег ):

Ответить
Развернуть ветку
Национальный блик

ну и какого хера мой комент отправился от имени какого то ибрпгима?

Ответить
Развернуть ветку
Вечный бокал

Этот Артём Бочкарёв, похоже, не знает, что имя и фамилия никак не проверяются процессингом и там можно хоть Муссолини вписать — оплата пройдёт.

Ответить
Развернуть ветку
Интеллектуальный корабль

Серьёзно?!

Ответить
Развернуть ветку
Чеченский каякер

Номер карты + CVV + дата окончания, никаких имен чаще всего.

Ответить
Развернуть ветку
Суровый лолипоп

да, в большинстве случаев, вы можете в пункте кард холдер вписать что угодно.

Ответить
Развернуть ветку
Круглый лолипоп

Адольф Виссарионович Муссолини

Ответить
Развернуть ветку
Прочный яд

Вообще должны.
Мне вот ОЗОН развернул платеж за то, что в адресе доставки (!) имя и фамилия не совпали с карточными.

С тех пор я решил ОЗОН игнорировать.

Ответить
Развернуть ветку
Минимальный крюк

все зависит от шлюза.

Ответить
Развернуть ветку
Исключительный микрофон

Некоторые и почтовый адрес проверяют. Иногда это настраивается.

А вообще-то странно, что кто-то еще без смс-подтверждения платежи разрешает.

Ответить
Развернуть ветку
Типичный бокал

Дело не в том, что проверяется или нет. Дело в том, что украдены данные, которые вводились пользователями до этой самой проверки. А чего они там могли навводить - это другой вопрос...

Ответить
Развернуть ветку
Вечный бокал

Речь шла про ответ прессека, который сказал, что судя по фамилиям и именам данные фейковые.

Ответить
Развернуть ветку
Парламентский браслет

Только у меня возможность оплаты билетов по Интернет плохо вяжется с плацкартными вагонами 40-х годов?

Ответить
Развернуть ветку
Чеченский каякер

РЖД как обычно, плохая мина при плохой игре. Уже открыто выложили им информацию, но нет же, надо упереться рогом и говорить, что все окей.

Ответить
Развернуть ветку
Чеченский каякер

Кстати, у нас нет никакого закона, который бы возмещал убытки от скомпроментированной карты в интернете (в отличии от ЕС, например), так что если снимут деньги - пишите пропало.

Ответить
Развернуть ветку
Вчерашний томагавк_два

Читайте ФЗ «О национальной платёжной системе»

Ответить
Развернуть ветку
Питерский кофе

нашёл себя. перевыпустил.

Ответить
Развернуть ветку
Критический кавалер

В России принято всё замалчивать и скрывать до самого конца, когда уже поздно что-то делать

Ответить
Развернуть ветку
Осторожный Филипп

Вот и убедилась, что завести отдельную карту для платежей в интернете и класть на нее ограниченную сумму денег было очень хорошей идеей

Ответить
Развернуть ветку
Суровый фитиль

а так же отдельную карту для снятия наличных в банкоматах, отдельную карту для оплаты счетов в кафе и ресторанах и отдельную карту для кокаина и спидов.

Ответить
Развернуть ветку
Осторожный Филипп

и отдельную карту использовать на парах вместо линейки, да

Ответить
Развернуть ветку
Пермский вентилятор

ржд... как же я ненавижу их сайт... почему, ну почему за 5 лет нельзя пофиксить баг с повторным вводом логина и пароля с главной страницы? Ну почему я каждый раз это делаю дважды???

Ответить
Развернуть ветку
Видный хичхакер

блять как же дико это бесит

Ответить
Развернуть ветку
Вчерашний томагавк_два

Это не баг, это «фича». Разные разделы сайта делали несколько разных контор, и с тех пор оно так.

Ответить
Развернуть ветку
Питерский кофе

господа, пострадавшие, не пора привлекать прокуратуру?

Ответить
Развернуть ветку
Положенный историк

интересно, как вы там смогли ввести имя? Можно или первые 6 цифр карты (и дальше ctrl+f по фамилии, или скроллить вручную) или просто скачать весь список в zip.

Ответить
Развернуть ветку
Питерский кофе

втб24 мне должен 150р.

Ответить
Развернуть ветку
Нищий пистолет

мне тоже, но думаю что не вернут:)

Ответить
Развернуть ветку
Минимальный крюк

Не нашел себя в списке. Рад.

Ответить
Развернуть ветку
Передовой крюк

Как же упоительно хорошо, что я с октября фактически банкрот, с нулем по всем счетам!

Ответить
Развернуть ветку
Серебряный пёс_анон

Не поверил. Посмотрел. Проверил. Все так.
В общем, как нутром чуял, что не нужно оставлять данные пластиков и оплатил через один очень популярный сервис за что ему спасибо в итоге. Карту я перевыпустил, благо там это дело 1 минуты :)
Спасибо ТЖорнал :)

Ответить
Развернуть ветку
Огненный Женя

Комментарий недоступен

Ответить
Развернуть ветку
Атомный парфюмер

Платеж был сделан на сайте РЖД 14.04.14, карту банк заблокировал сам на следующий день.

Ответить
Развернуть ветку
Воздушный Никита

Подскажите, какой банк?

Ответить
Развернуть ветку
Краткий инструмент

Справедливости ради, «в ближайшее время» по версии Рокетбанка — через неделю. Наивно надеялся на более короткий срок.

Ответить
Развернуть ветку
Специфический якорь

В Москве?

Ответить
Развернуть ветку
Краткий инструмент

Да. Пообещали изготовить карту лишь во вторник вечером, но зная то, что самостоятельно за ней заехать наверняка нельзя (некоторое время назад они даже отказались выдать мне срочно нужную выписку со счета, пришлось ждать курьера), увижу я ее наверняка не раньше среды.

Ответить
Развернуть ветку
Питерский кофе

Будьте бдительны! Со мной уже связались, то ли развод, то ли не пойми что

Ответить
Развернуть ветку
Выходной холод

Меня нет, что не все кто 14 билеты купил в этом списке оказались? Похоже на информационную войну против РЖД и ВТБ

Ответить
Развернуть ветку
Специфический якорь

А почитать описание уязвимости? Она позволяет стянуть 64кб данных из оперативной памяти сервера. Естественно, нельзя посылать столько запросов и с такой частотой, чтобы не пропустить ничего-ничего.

Ответить
Развернуть ветку
Оптимальный блик

Проверил, вместо моего имени высветилось имя какого-то левого чувака. Теперь думаю, а не на*бался ли я что слил данные своей карточки этому подозрительному сайту?

Ответить
Развернуть ветку
Читать все 43 комментария
null