Держи обман шире Статьи редакции

История с кражей банковских данных у клиентов РЖД обросла новыми подробностями

15 апреля неизвестные хакеры выложили в интернет архив с номерами и выпускными данными кредитных карт более десяти тысяч клиентов РЖД. Архив опубликовали на специально запущенном для этого сайте «SOS! РЖД». Как утверждали хакеры, вся информация была получена ими благодаря уязвимости в криптографическом пакете OpenSSL. 

Обеспокоенные пользователи, приобретавшие билеты на сайте РЖД с 7 по 14 апреля (именно этот период был указан хакерами как критически опасный), бросились проверять наличие своих карт в базе. 

Пока кто-то находил себя в списках и спешно заказывал перевыпуск кредитки, основные причастные к скандалу организации — РЖД и его партнер банк ВТБ-24, отвечающий за онлайн-покупку билетов перевозчика — либо отмалчивались, либо полностью отрицали существование угрозы. Уже сутки ничего не сообщают об утечке и федеральные СМИ.

1. Как РЖД могло упустить данные банковских карт?

Сайт «SOS! РЖД» утверждает, что виной всему баг под названием Heartbleed, обнаруженный в пакете данных OpenSSL 7 апреля. Этот баг позволял злоумышленникам проникать в защищенное соединение между компьютером и сервером и похищать из памяти последнего небольшие куски информации. Это могли быть как совершенно безобидные данные, так и логины, пароли или, к примеру, данные по банковским картам. 

Несмотря на то, что Heartbleed просуществовал в OpenSSL более двух лет, известно о нем стало только совсем недавно. Нашедшие его программисты тут же устранили проблему. Тем не менее, две трети сайтов во всем мире, использовавшие соединения на основе OpenSSL, должны были еще обновить собственные сертификаты, чтобы полностью обезопасить пользователей. 

Крупные интернет-ресурсы вроде Facebook и Twitter сделали это быстро. Как говорят создатели «SOS! РЖД», сайт РЖД и работающий с ними в тандеме банк ВТБ-24, несмотря на многочисленные предупреждения, не сделали этого вплоть до 14-го числа. 

Что делает РЖД и ВТБ-24? Они целую неделю позволяют злоумышленникам сливать данные всех банковских карт, которыми люди расплачивались за билет на их сайте. В результате чего скомпрометировано более 200 тысяч карт. За один неполный день нами слито более десяти тысяч карт, которые мы публично выложили в качестве доказательства. Но это лишь малая часть того, что могли получить злоумышленники. создатели интернет-сайта «SOS! РЖД»

По словам хакеров, выложивших данные карт в сеть, использовать их в корыстных целях они не собираются. На «SOS! РЖД» утверждают, что взлом был произведен для того, чтобы показать медлительность РЖД и помочь людям защитить свои деньги. Вся база данных состоит из отредактированных номеров, из которых удалена часть цифр.

2. Что говорят в РЖД и ВТБ-24?

Реакцию обеих организаций трудно назвать вразумительной. Дозвониться до пресс-службы РЖД 15 или 16 апреля TJournal не удалось. Единственный официальный комментарий перевозчика приводит РБК: в железнодорожной компании не подтвердили утечку информации.

В свою очередь глава пресс-службы ВТБ-24 в разговоре с редакцией полностью отрицал наличие каких-либо поводов для беспокойства. 

Для того, чтобы блокировать карты, нужны основания, а в данном случае их нет. Может быть, это какое-то детское баловство. Очень похоже, что все это просто фейк. Артем Бочкарев, руководитель пресс-службы ВТБ-24

Как рассказал Бочкарев, ВТБ-24 занимается проведением покупок на сайте РЖД через специальный шлюз своего партнера — «Мультикарты». Банк отвечает за процессинг, а сам сайт железных дорог не хранит никаких данных по картах. Бочкарев утверждает, что шлюз проверялся на предмет уязвимости, и никаких атак на шлюз в указанный период не было. 

Несколько иначе отреагировали другие банки и платежные сервисы — «Яндекс.Деньги», ТКС и «Рокетбанк». 

Обнаружив в базе «SOS! РЖД» около двенадцати своих клиентов, «Яндекс.Деньги» попросили выпускавшую их кредитную организацию временно заблокировать принадлежащие им карты. При этом, в «Яндекс.Деньгах» отметили, что утверждать о полной достоверности выложенных хакерами данных все же не могут. Выложенные на сайте сведения представители сервиса назвали «вызывающими сомнения». 

В ТКС (именно этот банк занимался выпуском карт для «Яндекс.Денег») аутентичность данных на «SOS! РЖД» также поставили под сомнение. 

Мы призываем клиентов не вводить данные своих карт на этом сайте для проверки, а обратиться непосредственно в ТКС Банк в случае обеспокоенности на предмет компрометации своих персональных данных. пресс-служба банка ТКС

Наконец, в «Рокетбанке» заявили, что «немедленно известили» всех клиентов, картам которых потенциально могла угрожать опасность. В банке подчеркнули, что их карты уже перевыпущены и в ближайшее время будут доставлены держателям. 

3. Есть ли другие достоверные подтверждения того, что информация по картам действительно могла быть похищена?

С по-настоящему достоверными подтверждениями все обстоит несколько сложнее. За сутки в комментариях к статьям об утечке появилось несколько десятков человек, утверждающих, что они обнаружили в базе свою карту и заказали ее перевыпуск. По большей части, никаких доказательств своим словам такие люди не приводили. 

Тем не менее, на момент написания этой заметки было известно как минимум о двух источниках, в той или иной степени заслуживающих доверия. 

Первый из них — директор по пользовательскому опыту компании Flexis Алексей Копылов. 16 апреля Копылов подтвердил Roem.ru, что нашел свою карту среди выложенных хакерами. В качестве доказательства он приложил фотографию карты, а также скриншот заказанного им на сайте РЖД билета на поезд из Петербурга в Москву. 

Карта Алексея Копылова действительно есть базе данных «SOS! РЖД». Однако, подозрения TJournal вызвала дата покупки, указанная в билете. Как писал в комментарии под постом Копылов, билет он покупал около 01:30 14 апреля. На скриншоте же стояла дата 15 апреля и время покупки 22 часа 35 минут. 

Хакеры из «SOS! РЖД» заявляли, что уязвимость на портале РЖД была устранена 14-го числа, а в открытый доступ они выложили лишь ту часть карт, операции по которым проводились в последний день ее существования. Карта, использовавшаяся для покупки билета 15-го апреля, таким образом не могла теоретически попасть в архив утекших данных. 

Поздее Алексей Копылов выложил снимок другого билета, заказанного на имя Н. Кашиной. Этот билет был куплен в половине второго ночи 14 апреля, как ранее и утверждал Копылов. По его словам, второй проездной документ он оформлял для своей жены. 

Существование проблем на шлюзе ВТБ-24 подтвердил TJournal и еще один человек — пользователь блогохостинга «Хабрахабр», 12 апреля опубликовавший пост о Heartbleed и той опасности, которую может нести баг для обычного пользователя. 

В посте блогер рассказывал, как 12 апреля пытался совершить покупку на сайте «одной российской интернет-компании». Дойдя до страницы с оплатой и попав на платежный шлюз банка, пользователь решил на всякий случай проверить шлюз на наличие уязвимостей. 

В итоге, из-за Heartbleed с шлюза удалось вытащить номер заказа, номер карты, CVV-код, а также имя и фамилию заказчика. 15 апреля в посте на «Хабре» появился апдейт — автор сообщал, что уязвимость в банковском шлюзе, наконец, устранили. 

15-го числа баг действительно уже был устранен. Я проверял. Уязвимость устранили где-то с понедельника на вторник, судя по всему. Собственно особых подтверждений и не нужно — баг в OpenSSL был много где, так что ничего удивительного с технической точки зрения не произошло. Сама утечка у меня сомнений не вызывает. Удивляют лишь попытки ВТБ-24 обелить себя.@deorf

4. Стоит ли беспокоиться?

На «SOS! РЖД» действительно есть данные каких-то банковских карт. Некоторые пользователи заявляют, что это и в самом деле их карты, другие — утверждают, что доверять сайту нельзя и рекомендуют не проверять на нем номер своей кредитки. 

Сайт и вправду вызывает определенные подозрения. На его главной странице есть ссылка, ведущая на ресурс под названием slon.im. Запущенный в конце 2013 года портал представляет из себя полупустой и заброшенный форум для обсуждения и обмена информацией по украденным банковским картам.

Окончательно прояснить ситуацию могут лишь в РЖД. Однако новой информации от руководителей компании пока не поступало. До тех пор проверять карту на «SOS! РЖД», пожалуй, не стоит. Если вы уже сделали это, лучше на всякий случай все же заказать перевыпуск.

0
30 комментариев
Популярные
По порядку
Написать комментарий...
Удивленный звук

Прямое включение из головного офиса РЖД

Ответить
6
Развернуть ветку
Удивленный звук

До тех пор проверять карту на «SOS! РЖД», пожалуй, не стоит. Если вы уже сделали это, лучше на всякий случай все же заказать перевыпуск.

С сайта https://sos-rzd.com/:
Если вы хотите, вы можете проверить свою карту, введя первые шесть и последние четыре цифры её номера. Эта информация не является секретной. А ввести полный номер карты, вы и при желании туда не сможете. И даже, если и это кажется кому-то подозрительным, то на странице Карты можно скачать дамп в текстовом формате, и в нем уже искать. Кажется теперь все стало прозрачно?

Ответить
3
Развернуть ветку
Удивленный звук

Есть способы оплаты даже без CVC.
TJournal сделайте ответы на комментарии в мобильной и удалите предыдущий

Ответить
2
Развернуть ветку
Удивленный звук

А ты дерзкий

Ответить
1
Развернуть ветку
Удивленный звук

это обида на мир/гнев породили дерзость)

Ответить
0
Развернуть ветку

Комментарий удален

Развернуть ветку

Комментарий удален

Развернуть ветку
Удивленный звук

Просветите неуча, если не сложно. Я оплачиваю картой заказ билета, и мне приходит смска двухфакторной авторизации. Мне всегда приходит смска двухфакторной авторизации. Как злоумышленик, имея CVC код моей карты, может ею воспользоваться?

Ответить
1
Развернуть ветку
Удивленный звук

Это только на тех сайтах, где система оплаты поддерживает 3D-Secure (Verified by Visa / MasterCard SecureCode / JSecure / American Express SafeKey etc).

Если эта система не поддерживается, то оплата спокойно проходит просто по реквизитам карты.

Отличие в том, что в первом случае вы не можете оспорить платёж в обычном досудебном порядке, во втором - можете.

Пример второго - это, например, оплата услуг ЖКХ на сайте госуслуг Татарстана. Спокойно оплачивает картой, например, Сбербанка без подтверждения смской.

Вообще 3D-Secure служит для безопасности банка перед клиентом, а не клиента перед мошенниками.

Ответить
4
Развернуть ветку
Удивленный звук

Приблизительно две трeтьих граждан РФ не доверяют правительству. И правильно делают. Тoлькo пocмотрите: http://allpoisk.com cepвиc, который был сделан министерством. Здесь размещена инфa о всех жителях бившего СССР, это могут посмотреть все. А люди даже и не подозревают об этом.

Ответить
–6
Развернуть ветку
Удивленный звук

Я вам даже скажу больше, есть коды оплат, при которых не нужен даже CVV/CVC-код.

Это, например, оплата гостиниц по слип-отпечатку (т.е. только по номеру карты).

Ответить
2
Развернуть ветку
Удивленный звук

В вашем случае никак, технология 3-D Secure (Visa) и SecureCode (MasterCard) о которой вы говорите вполне защищает от несанкционированных транзакций. Хотя, например, в случае с двухфакторной авторизацией в почте, с помощью heartbleed теоретически можно было вытащить уже "подтвержденную" по СМС сессию.

Ответить
0
Развернуть ветку
Удивленный звук

Fedor, вы заблуждаетесь. Есть магазины, где отключена 3-Д Секьюр — банк спокойно проводит транзакцию без смски.
Более того, есть магазины, где и ЦВВ не нужен.
Так что если вы обнаружили данные своей карты, немедленно перевыпустите её.

Ответить
1
Развернуть ветку
Удивленный звук

Denis, человек написал, что ему всегда приходят СМСки, значит старается обращать на это внимание. Понятно, что если подтверждения не было, то риск возрастает.

Ответить
0
Развернуть ветку
Удивленный звук

Удивляют комментаторы типа "Не вводите данные своей карты, вдруг это мошенники".

Кто вас просит вводить весь номер карты? Для поиска достаточно последних 4-х цифр.

Ответить
1
Развернуть ветку
Удивленный звук

первых шести достаточно даже(безопаснее). А дальше уже по фамилии/имени смотреть

Ответить
0
Развернуть ветку
Удивленный звук

Шесть цифр безопаснее четырёх? С каких пор?

Ответить
0
Развернуть ветку
Удивленный звук

потому что частота совпадений между картами выше(первые 6 цифр -- БИН) если выше частота совпадений, значит безопаснее.

Ответить
0
Развернуть ветку
Удивленный звук

Или первых 6 (что означает БИН номер банка), а потом среди списка уже искать по последним 4ем.
Я так нашел номер, отличающийся от моей карточки всего на одну единичку в последней цифре, сердце прихватило :)

Ответить
0
Развернуть ветку
Удивленный звук

Номера карточек не могут отличаться на 1 в последней цифре.

Значит, скрытые цифры отличаются от вашей.

Ответить
2
Развернуть ветку
Удивленный звук

збс

Ответить
1
Развернуть ветку
Удивленный звук

Плохо то, что в конечном счете это смогут выставить как очередную проблему интернета и что "платежи через интернет надо запретить", например.

Ответить
1
Развернуть ветку
Удивленный звук

Извините, но пишете статью хреново. Нельзя ли в начале написать о том, что не стоит проверять свою карту, а уж потом объяснять что и как. Думаю большинство сразу проверит карту, а уж потом будут читать что по чем,..!

Ответить
1
Развернуть ветку

Комментарий удален

Развернуть ветку
Удивленный звук

Звонили из банка (ПСКБ), сказали, что моя карточка попала в этот список и сами за свой счет перевыпустили карту. Покупал билеты на РЖД около недели назад. ПСКБ - молодцы, РЖД и ВТБ-24 - нет.

Ответить
0
Развернуть ветку
Удивленный звук

Извините, но пишете статью хреново. Нельзя ли в начале написать о том, что не стоит проверять свою карту, а уж потом объяснять. Думаю большинство сразу проверит карту, а уж потом будут читать что по чем,..!

Ответить
0
Развернуть ветку
Удивленный звук

Действительно, зачем читать что-то до конца, да и вообще головой думать.

Ответить
0
Развернуть ветку
Удивленный звук

не вижу проблемы в проыерке карты, они хотят только бин

Ответить
0
Развернуть ветку
Удивленный звук

РЖД, SOSI

Ответить
0
Развернуть ветку
Удивленный звук

Узнал, что за покупку билета 12 апреля, мою карту Альфа Банка заблокировали в части интернет платежей и теперь предстоит ее поменять :-(

Ответить
0
Развернуть ветку
Удивленный звук

Авангард — позвонил в ТП банка, спросил о ситуации. Заявили, что карту надо подать на перевыпуск. Так и сделал. Билет покупал 8 числа.

Ответить
0
Развернуть ветку
Удивленный звук

А пошел и сам поменял - Банк Москвы. Никто мне не звонил. Я думаю пока они будут разбираться и отнекиваться с карт реально деньги тырить начнут. Думаю, что надеются на авось. А вдруг никто не додумался провести очень простую операцию и получить доступ к картам. А вдруг пронесет.

Ответить
0
Развернуть ветку
Удивленный звук

Кто еще перешел читать материал только из-за картинки во ВКонтакте?)

Ответить
–3
Развернуть ветку
Читать все 30 комментариев
null