Хакеры сообщили об утечке данных карт клиентов РЖД из-за Heartbleed Статьи редакции

Банковские карты, которыми производилась оплата билетов на сайте РЖД в период с 7 по 14 апреля, могли попасть в руки мошенников из-за уязвимости Heartbleed, сообщается на сайте «SOS! РЖД». В банке-партнёре железнодорожной компании ВТБ-24 эту информацию опровергают.

Обновлено: добавлен комментарий «Яндекс.Денег».

Обновлено: добавлен комментарий Алексея Копылова, директора по пользовательскому опыту компании Flexis, сооснователя UIDG.

Обновлено: добавлено заявление основателя «Рокетбанка».

Неизвестные хакеры предупредили клиентов РЖД о возможной утечке данных банковских карт в случае, если покупка билетов на сайте компании осуществлялась в период между 7 и 14 апреля. По их подсчётам, в общей сложности могло быть скомпрометировано около 200 тысяч карт.

В качестве подтверждения хакеры опубликовали часть этой базы — более 10 тысяч номеров карт со сроками действия, CVV-кодами и именами держателей. Часть цифр заменена на звёздочки в целях безопасности.

По словам авторов сайта, данные карт могли попасть в руки мошенников из-за уязвимости Heartbleed, которая была обнаружена и предана огласке 7 апреля. Ошибка в коде протокола OpenSSL позволяла получать несанкционированный доступ к личной информации пользователей многих популярных сервисов. Большинство из них выступили с оперативными заявлениями, часто прося пользователей сменить пароли.

По данным Roem.ru, среди опубликованных номеров более десяти карт оказались картами с идентификаторами, использующимися сервисом «Яндекс.Деньги». Такие карты выпускаются банком ТКС. Представители «Яндекс.Денег» заявили изданию, что попросили ТКС временно заблокировать карты всех пользователей, которые совершали покупки на сайте РЖД в период с 7 по 14 апреля.

То, что утечка на самом деле имела место, позже подтвердил один из пользователей Roem.ru. Директор по пользовательскому опыту компании Flexis Алексей Копылов нашел среди украденных хакерами данных информацию своей кредитной карты, которой оплачивал на сайте РЖД билет из Санкт-Петербурга в Москву.

Виктор Лысенко, основатель «Рокетбанка» (их карта была у Алексея Копылова), заявил, что все карты, «засветившиеся» на сайте хакеров, будут перевыпущены. 

РЖД и его партнёр ВТБ-24 были предупреждены об уязвимости, сообщают хакеры, однако отреагировали лишь вечером 14 апреля — то есть спустя неделю после того, как об уязвимости было широко известно. Авторы «SOS! РЖД» предлагают ВТБ-24 опубликовать список карт, которыми расплачивались за покупку билетов на сайте железной дороги между 7 и 14 апреля, а соответствующих клиентов они призывают заблокировать свои карты и перевыпустить их.

Как рассказал TJournal руководитель пресс-службы ВТБ-24 Артём Бочкарёв, информация об утечке карт неверна.

Если внимательно посмотреть на сайт, он уже сам по себе вызывает много вопросов: вместо фамилий используются цифры, сокращения, встречаются русские или неполные имена, чего не может быть в случае банковских карт. Очень похоже, что это просто фейк.Артём Бочкарев, руководитель пресс-службы ВТБ-24

Бочкарёв пояснил, что все операции с билетами РЖД идут через шлюз «Мультикарты» — партнёра ВТБ, осуществляющего процессинг платежей на сайте железнодорожной компании.

Атака должна была быть совершена не на сайт РЖД, а на шлюз. На сайте РЖД данные карт не хранятся, атак на шлюз не было, а на предмет уязвимости он проверялся.Артём Бочкарев, руководитель пресс-службы ВТБ-24

Заявление хакеров Бочкарёв назвал саморекламой: «Может быть, это какое-то детское баловство». Он также сообщил, что массовой блокировки карт клиентов банка не происходит: «Для того, чтобы блокировать карты, нужны основания, а в данном случае их нет».

По телефону пресс-службы, указанному на сайте РЖД, TJournal не дозвонился. Сами хакеры в комментарии «Цукерберг Позвонит» рассказали, что проделали операцию в учебных целях.

{ "author_name": "Никита Лихачёв", "author_type": "self", "tags": ["\u0443\u0442\u0435\u0447\u043a\u0430_\u0434\u0430\u043d\u043d\u044b\u0445_\u0440\u0436\u0434","\u0440\u043e\u043a\u0435\u0442\u0431\u0430\u043d\u043a","\u0440\u0436\u0434","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0432\u0442\u0431_24","heartbleed"], "comments": 43, "likes": 18, "favorites": 0, "is_advertisement": false, "subsite_label": "flood", "id": 50496, "is_wide": true, "is_ugc": true, "date": "Tue, 15 Apr 2014 21:01:13 +0400", "is_special": false }
0
43 комментария
Популярные
По порядку
Написать комментарий...
Королевский завод

Платил картой на сайте РЖД вчера, менять ее не собираюсь

14
Минимальный Артем

Same shit

0
Слабый Мурод

платил картой на сайте РЖД позавчера, менять ее не собираюсь на ней нет больше денег ):

0
Испанский американец

ну и какого хера мой комент отправился от имени какого то ибрпгима?

0
Запасной танк88

Этот Артём Бочкарёв, похоже, не знает, что имя и фамилия никак не проверяются процессингом и там можно хоть Муссолини вписать — оплата пройдёт.

14
Финансовый чайник

Серьёзно?!

3
Единственный пёс_анон

Номер карты + CVV + дата окончания, никаких имен чаще всего.

0
Опасный Орзэмэс

да, в большинстве случаев, вы можете в пункте кард холдер вписать что угодно.

0
Населенный Орзэмэс

Адольф Виссарионович Муссолини

1
Экологический кавалер

Вообще должны.
Мне вот ОЗОН развернул платеж за то, что в адресе доставки (!) имя и фамилия не совпали с карточными.

С тех пор я решил ОЗОН игнорировать.

0
Молодой Мика

все зависит от шлюза.

0
Устойчивый бокал

Некоторые и почтовый адрес проверяют. Иногда это настраивается.

А вообще-то странно, что кто-то еще без смс-подтверждения платежи разрешает.

0
Партийный танк88

Дело не в том, что проверяется или нет. Дело в том, что украдены данные, которые вводились пользователями до этой самой проверки. А чего они там могли навводить - это другой вопрос...

0
Запасной танк88

Речь шла про ответ прессека, который сказал, что судя по фамилиям и именам данные фейковые.

0
Совершенный Гоша

Только у меня возможность оплаты билетов по Интернет плохо вяжется с плацкартными вагонами 40-х годов?

5
Единственный пёс_анон

РЖД как обычно, плохая мина при плохой игре. Уже открыто выложили им информацию, но нет же, надо упереться рогом и говорить, что все окей.

4
Единственный пёс_анон

Кстати, у нас нет никакого закона, который бы возмещал убытки от скомпроментированной карты в интернете (в отличии от ЕС, например), так что если снимут деньги - пишите пропало.

0
Задний парфюмер

Читайте ФЗ «О национальной платёжной системе»

0
Волшебный блик

нашёл себя. перевыпустил.

2
Крепкий калькулятор

В России принято всё замалчивать и скрывать до самого конца, когда уже поздно что-то делать

2
Очевидный велосипед

Вот и убедилась, что завести отдельную карту для платежей в интернете и класть на нее ограниченную сумму денег было очень хорошей идеей

2
Опасный колос

а так же отдельную карту для снятия наличных в банкоматах, отдельную карту для оплаты счетов в кафе и ресторанах и отдельную карту для кокаина и спидов.

3
Очевидный велосипед

и отдельную карту использовать на парах вместо линейки, да

1
Смешной ящик

ржд... как же я ненавижу их сайт... почему, ну почему за 5 лет нельзя пофиксить баг с повторным вводом логина и пароля с главной страницы? Ну почему я каждый раз это делаю дважды???

2
Живой клуб

блять как же дико это бесит

0
Задний парфюмер

Это не баг, это «фича». Разные разделы сайта делали несколько разных контор, и с тех пор оно так.

0
Волшебный блик

господа, пострадавшие, не пора привлекать прокуратуру?

1
Совместный Данила

интересно, как вы там смогли ввести имя? Можно или первые 6 цифр карты (и дальше ctrl+f по фамилии, или скроллить вручную) или просто скачать весь список в zip.

1
Волшебный блик

втб24 мне должен 150р.

0
Громкий Макс

мне тоже, но думаю что не вернут:)

0
Молодой Мика

Не нашел себя в списке. Рад.

0
Мирный Мика

Как же упоительно хорошо, что я с октября фактически банкрот, с нулем по всем счетам!

0
Бедный алмаз

Не поверил. Посмотрел. Проверил. Все так.
В общем, как нутром чуял, что не нужно оставлять данные пластиков и оплатил через один очень популярный сервис за что ему спасибо в итоге. Карту я перевыпустил, благо там это дело 1 минуты :)
Спасибо ТЖорнал :)

0
Заключенный дебаркадер

Но ведь мужик в чём-то прав. Данные карты вводятся не на сайте ржд, а уже на втб-шном шлюзе. Так что как минимум в список попали карты не только ржд, а как максимум карты с другого места вообще спёрли. Троян какой например насобирал

0
Вечный меч

Платеж был сделан на сайте РЖД 14.04.14, карту банк заблокировал сам на следующий день.

0
Озабоченный спрей

Подскажите, какой банк?

0
Правильный утюг

Справедливости ради, «в ближайшее время» по версии Рокетбанка — через неделю. Наивно надеялся на более короткий срок.

0
Психологический диод

В Москве?

0
Правильный утюг

Да. Пообещали изготовить карту лишь во вторник вечером, но зная то, что самостоятельно за ней заехать наверняка нельзя (некоторое время назад они даже отказались выдать мне срочно нужную выписку со счета, пришлось ждать курьера), увижу я ее наверняка не раньше среды.

0
Волшебный блик

Будьте бдительны! Со мной уже связались, то ли развод, то ли не пойми что

0
Налоговый огонь

Меня нет, что не все кто 14 билеты купил в этом списке оказались? Похоже на информационную войну против РЖД и ВТБ

–1
Психологический диод

А почитать описание уязвимости? Она позволяет стянуть 64кб данных из оперативной памяти сервера. Естественно, нельзя посылать столько запросов и с такой частотой, чтобы не пропустить ничего-ничего.

0
Голубой американец

Проверил, вместо моего имени высветилось имя какого-то левого чувака. Теперь думаю, а не на*бался ли я что слил данные своей карточки этому подозрительному сайту?

–2
Читать все 43 комментария
null