Хакеры сообщили об утечке данных карт клиентов РЖД из-за Heartbleed Статьи редакции

Банковские карты, которыми производилась оплата билетов на сайте РЖД в период с 7 по 14 апреля, могли попасть в руки мошенников из-за уязвимости Heartbleed, сообщается на сайте «SOS! РЖД». В банке-партнёре железнодорожной компании ВТБ-24 эту информацию опровергают.

Обновлено: добавлен комментарий «Яндекс.Денег».

Обновлено: добавлен комментарий Алексея Копылова, директора по пользовательскому опыту компании Flexis, сооснователя UIDG.

Обновлено: добавлено заявление основателя «Рокетбанка».

Неизвестные хакеры предупредили клиентов РЖД о возможной утечке данных банковских карт в случае, если покупка билетов на сайте компании осуществлялась в период между 7 и 14 апреля. По их подсчётам, в общей сложности могло быть скомпрометировано около 200 тысяч карт.

В качестве подтверждения хакеры опубликовали часть этой базы — более 10 тысяч номеров карт со сроками действия, CVV-кодами и именами держателей. Часть цифр заменена на звёздочки в целях безопасности.

По словам авторов сайта, данные карт могли попасть в руки мошенников из-за уязвимости Heartbleed, которая была обнаружена и предана огласке 7 апреля. Ошибка в коде протокола OpenSSL позволяла получать несанкционированный доступ к личной информации пользователей многих популярных сервисов. Большинство из них выступили с оперативными заявлениями, часто прося пользователей сменить пароли.

По данным Roem.ru, среди опубликованных номеров более десяти карт оказались картами с идентификаторами, использующимися сервисом «Яндекс.Деньги». Такие карты выпускаются банком ТКС. Представители «Яндекс.Денег» заявили изданию, что попросили ТКС временно заблокировать карты всех пользователей, которые совершали покупки на сайте РЖД в период с 7 по 14 апреля.

То, что утечка на самом деле имела место, позже подтвердил один из пользователей Roem.ru. Директор по пользовательскому опыту компании Flexis Алексей Копылов нашел среди украденных хакерами данных информацию своей кредитной карты, которой оплачивал на сайте РЖД билет из Санкт-Петербурга в Москву.

Виктор Лысенко, основатель «Рокетбанка» (их карта была у Алексея Копылова), заявил, что все карты, «засветившиеся» на сайте хакеров, будут перевыпущены. 

РЖД и его партнёр ВТБ-24 были предупреждены об уязвимости, сообщают хакеры, однако отреагировали лишь вечером 14 апреля — то есть спустя неделю после того, как об уязвимости было широко известно. Авторы «SOS! РЖД» предлагают ВТБ-24 опубликовать список карт, которыми расплачивались за покупку билетов на сайте железной дороги между 7 и 14 апреля, а соответствующих клиентов они призывают заблокировать свои карты и перевыпустить их.

Как рассказал TJournal руководитель пресс-службы ВТБ-24 Артём Бочкарёв, информация об утечке карт неверна.

Если внимательно посмотреть на сайт, он уже сам по себе вызывает много вопросов: вместо фамилий используются цифры, сокращения, встречаются русские или неполные имена, чего не может быть в случае банковских карт. Очень похоже, что это просто фейк.Артём Бочкарев, руководитель пресс-службы ВТБ-24

Бочкарёв пояснил, что все операции с билетами РЖД идут через шлюз «Мультикарты» — партнёра ВТБ, осуществляющего процессинг платежей на сайте железнодорожной компании.

Атака должна была быть совершена не на сайт РЖД, а на шлюз. На сайте РЖД данные карт не хранятся, атак на шлюз не было, а на предмет уязвимости он проверялся.Артём Бочкарев, руководитель пресс-службы ВТБ-24

Заявление хакеров Бочкарёв назвал саморекламой: «Может быть, это какое-то детское баловство». Он также сообщил, что массовой блокировки карт клиентов банка не происходит: «Для того, чтобы блокировать карты, нужны основания, а в данном случае их нет».

По телефону пресс-службы, указанному на сайте РЖД, TJournal не дозвонился. Сами хакеры в комментарии «Цукерберг Позвонит» рассказали, что проделали операцию в учебных целях.

{ "author_name": "Никита Лихачёв", "author_type": "self", "tags": ["\u0443\u0442\u0435\u0447\u043a\u0430_\u0434\u0430\u043d\u043d\u044b\u0445_\u0440\u0436\u0434","\u0440\u043e\u043a\u0435\u0442\u0431\u0430\u043d\u043a","\u0440\u0436\u0434","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0432\u0442\u0431_24","heartbleed"], "comments": 43, "likes": 18, "favorites": 0, "is_advertisement": false, "subsite_label": "flood", "id": 50496, "is_wide": true, "is_ugc": true, "date": "Tue, 15 Apr 2014 21:01:13 +0400", "is_special": false }
0
43 комментария
Популярные
По порядку
Написать комментарий...

Мобильный Паша

14

Платил картой на сайте РЖД вчера, менять ее не собираюсь

Ответить

Уголовный утюг

Дмитрий
0

Same shit

Ответить

Многий лолипоп

Андрей
0

платил картой на сайте РЖД позавчера, менять ее не собираюсь на ней нет больше денег ):

Ответить

Внимательный меч

Ибрагим
0

ну и какого хера мой комент отправился от имени какого то ибрпгима?

Ответить

Регулярный украинец

14

Этот Артём Бочкарёв, похоже, не знает, что имя и фамилия никак не проверяются процессингом и там можно хоть Муссолини вписать — оплата пройдёт.

Ответить

Тепловой будильник

Ilya
3

Серьёзно?!

Ответить

Капитальный жар

Константин
0

Номер карты + CVV + дата окончания, никаких имен чаще всего.

Ответить

Внутренний Петя

Константин
0

да, в большинстве случаев, вы можете в пункте кард холдер вписать что угодно.

Ответить

Многолетний Петя

Ilya
1

Адольф Виссарионович Муссолини

Ответить

Сельский каякер

Ilya
0

Вообще должны.
Мне вот ОЗОН развернул платеж за то, что в адресе доставки (!) имя и фамилия не совпали с карточными.

С тех пор я решил ОЗОН игнорировать.

Ответить

Входной диод

Юрий
0

все зависит от шлюза.

Ответить

Ценный цвет

Ilya
0

Некоторые и почтовый адрес проверяют. Иногда это настраивается.

А вообще-то странно, что кто-то еще без смс-подтверждения платежи разрешает.

Ответить

Судебный украинец

Ilya
0

Дело не в том, что проверяется или нет. Дело в том, что украдены данные, которые вводились пользователями до этой самой проверки. А чего они там могли навводить - это другой вопрос...

Ответить

Регулярный украинец

Андрей
0

Речь шла про ответ прессека, который сказал, что судя по фамилиям и именам данные фейковые.

Ответить

Стратегический танк88

5

Только у меня возможность оплаты билетов по Интернет плохо вяжется с плацкартными вагонами 40-х годов?

Ответить

Капитальный жар

4

РЖД как обычно, плохая мина при плохой игре. Уже открыто выложили им информацию, но нет же, надо упереться рогом и говорить, что все окей.

Ответить

Капитальный жар

IO
0

Кстати, у нас нет никакого закона, который бы возмещал убытки от скомпроментированной карты в интернете (в отличии от ЕС, например), так что если снимут деньги - пишите пропало.

Ответить

Красивый огонь

IO
0

Читайте ФЗ «О национальной платёжной системе»

Ответить

Украинский парфюмер

2

нашёл себя. перевыпустил.

Ответить

Прекрасный пёс_анон

2

В России принято всё замалчивать и скрывать до самого конца, когда уже поздно что-то делать

Ответить

Свежий Мурод

2

Вот и убедилась, что завести отдельную карту для платежей в интернете и класть на нее ограниченную сумму денег было очень хорошей идеей

Ответить

Внутренний блик

Надежда
3

а так же отдельную карту для снятия наличных в банкоматах, отдельную карту для оплаты счетов в кафе и ресторанах и отдельную карту для кокаина и спидов.

Ответить

Свежий Мурод

Неожиданный
1

и отдельную карту использовать на парах вместо линейки, да

Ответить

Указанный велосипед

2

ржд... как же я ненавижу их сайт... почему, ну почему за 5 лет нельзя пофиксить баг с повторным вводом логина и пароля с главной страницы? Ну почему я каждый раз это делаю дважды???

Ответить

Проектный рубин

Артур
0

блять как же дико это бесит

Ответить

Красивый огонь

Артур
0

Это не баг, это «фича». Разные разделы сайта делали несколько разных контор, и с тех пор оно так.

Ответить

Украинский парфюмер

1

господа, пострадавшие, не пора привлекать прокуратуру?

Ответить

Прямой самолет

1

интересно, как вы там смогли ввести имя? Можно или первые 6 цифр карты (и дальше ctrl+f по фамилии, или скроллить вручную) или просто скачать весь список в zip.

Ответить

Украинский парфюмер

0

втб24 мне должен 150р.

Ответить

Понятный Илья

Кирилл
0

мне тоже, но думаю что не вернут:)

Ответить

Входной диод

0

Не нашел себя в списке. Рад.

Ответить

Учебный диод

0

Как же упоительно хорошо, что я с октября фактически банкрот, с нулем по всем счетам!

Ответить

Длинный цветок

0

Не поверил. Посмотрел. Проверил. Все так.
В общем, как нутром чуял, что не нужно оставлять данные пластиков и оплатил через один очень популярный сервис за что ему спасибо в итоге. Карту я перевыпустил, благо там это дело 1 минуты :)
Спасибо ТЖорнал :)

Ответить

Радостный хичхакер

0

Но ведь мужик в чём-то прав. Данные карты вводятся не на сайте ржд, а уже на втб-шном шлюзе. Так что как минимум в список попали карты не только ржд, а как максимум карты с другого места вообще спёрли. Троян какой например насобирал

Ответить

Обычный кран

0

Платеж был сделан на сайте РЖД 14.04.14, карту банк заблокировал сам на следующий день.

Ответить

Конструктивный Артем

Alina
0

Подскажите, какой банк?

Ответить

Нынешний историк

0

Справедливости ради, «в ближайшее время» по версии Рокетбанка — через неделю. Наивно надеялся на более короткий срок.

Ответить

Народный татарин

Илья
0

В Москве?

Ответить

Нынешний историк

Я
0

Да. Пообещали изготовить карту лишь во вторник вечером, но зная то, что самостоятельно за ней заехать наверняка нельзя (некоторое время назад они даже отказались выдать мне срочно нужную выписку со счета, пришлось ждать курьера), увижу я ее наверняка не раньше среды.

Ответить

Украинский парфюмер

0

Будьте бдительны! Со мной уже связались, то ли развод, то ли не пойми что

Ответить

Дорогой ящик

–1

Меня нет, что не все кто 14 билеты купил в этом списке оказались? Похоже на информационную войну против РЖД и ВТБ

Ответить

Народный татарин

Пётр
0

А почитать описание уязвимости? Она позволяет стянуть 64кб данных из оперативной памяти сервера. Естественно, нельзя посылать столько запросов и с такой частотой, чтобы не пропустить ничего-ничего.

Ответить

Многие меч

–2

Проверил, вместо моего имени высветилось имя какого-то левого чувака. Теперь думаю, а не на*бался ли я что слил данные своей карточки этому подозрительному сайту?

Ответить
Читать все 43 комментария
Обсуждаемое
Новости
В Москве и Петербурге установилась аномальная жара — температура бьёт рекорды, местные жители скупают вентиляторы
В соцсетях жалуются на 35-градусную жару, делятся советами, как её пережить, а также показывают спасающихся от зноя питомцев.
Новости
ВОЗ нашла нарушения на производстве «Спутника V» в Уфе. В Кремле говорят, что всё уже исправили
Основная часть недочётов связана со стерильностью и охраной окружающей среды.
Новости
Лоббисты оружия в США выступили на фальшивом выпускном перед тысячами пустых стульев. Они означают убитых детей
Родители обманули тех, кого считают причастными к смертям подростков.
Популярное за три дня
Интернет
«У меня тут всё есть, кроме свободы»: Илья Мэддисон на стриме зачитал письмо Юрия Хованского из СИЗО
Трансляции 2021 года выглядят именно так: чат, донаты и послание от видеоблогера, обвиняемого в оправдании терроризма.
Технологии
Microsoft представила Windows 11 — с новым «пуском», дизайном интерфейса и Android-приложениями в магазине
«Окна» стали круглыми, «пуск» переместили в центр экрана, а производительность значительно улучшили.
Новости
В Петербурге закрасили граффити с врачом-супергероем — его нарисовали ко Дню медицинского работника
Изображение убрали, потому что оно не было согласовано.
Комментарии
null