Офтоп
Виктор Степанов

Держи обман шире

История с кражей банковских данных у клиентов РЖД обросла новыми подробностями

15 апреля неизвестные хакеры выложили в интернет архив с номерами и выпускными данными кредитных карт более десяти тысяч клиентов РЖД. Архив опубликовали на специально запущенном для этого сайте «SOS! РЖД». Как утверждали хакеры, вся информация была получена ими благодаря уязвимости в криптографическом пакете OpenSSL. 

Обеспокоенные пользователи, приобретавшие билеты на сайте РЖД с 7 по 14 апреля (именно этот период был указан хакерами как критически опасный), бросились проверять наличие своих карт в базе. 

Пока кто-то находил себя в списках и спешно заказывал перевыпуск кредитки, основные причастные к скандалу организации — РЖД и его партнер банк ВТБ-24, отвечающий за онлайн-покупку билетов перевозчика — либо отмалчивались, либо полностью отрицали существование угрозы. Уже сутки ничего не сообщают об утечке и федеральные СМИ.

1. Как РЖД могло упустить данные банковских карт?

Сайт «SOS! РЖД» утверждает, что виной всему баг под названием Heartbleed, обнаруженный в пакете данных OpenSSL 7 апреля. Этот баг позволял злоумышленникам проникать в защищенное соединение между компьютером и сервером и похищать из памяти последнего небольшие куски информации. Это могли быть как совершенно безобидные данные, так и логины, пароли или, к примеру, данные по банковским картам. 

Несмотря на то, что Heartbleed просуществовал в OpenSSL более двух лет, известно о нем стало только совсем недавно. Нашедшие его программисты тут же устранили проблему. Тем не менее, две трети сайтов во всем мире, использовавшие соединения на основе OpenSSL, должны были еще обновить собственные сертификаты, чтобы полностью обезопасить пользователей. 

Крупные интернет-ресурсы вроде Facebook и Twitter сделали это быстро. Как говорят создатели «SOS! РЖД», сайт РЖД и работающий с ними в тандеме банк ВТБ-24, несмотря на многочисленные предупреждения, не сделали этого вплоть до 14-го числа. 

Что делает РЖД и ВТБ-24? Они целую неделю позволяют злоумышленникам сливать данные всех банковских карт, которыми люди расплачивались за билет на их сайте. В результате чего скомпрометировано более 200 тысяч карт. За один неполный день нами слито более десяти тысяч карт, которые мы публично выложили в качестве доказательства. Но это лишь малая часть того, что могли получить злоумышленники. создатели интернет-сайта «SOS! РЖД»

По словам хакеров, выложивших данные карт в сеть, использовать их в корыстных целях они не собираются. На «SOS! РЖД» утверждают, что взлом был произведен для того, чтобы показать медлительность РЖД и помочь людям защитить свои деньги. Вся база данных состоит из отредактированных номеров, из которых удалена часть цифр.

2. Что говорят в РЖД и ВТБ-24?

Реакцию обеих организаций трудно назвать вразумительной. Дозвониться до пресс-службы РЖД 15 или 16 апреля TJournal не удалось. Единственный официальный комментарий перевозчика приводит РБК: в железнодорожной компании не подтвердили утечку информации.

В свою очередь глава пресс-службы ВТБ-24 в разговоре с редакцией полностью отрицал наличие каких-либо поводов для беспокойства. 

Для того, чтобы блокировать карты, нужны основания, а в данном случае их нет. Может быть, это какое-то детское баловство. Очень похоже, что все это просто фейк. Артем Бочкарев, руководитель пресс-службы ВТБ-24

Как рассказал Бочкарев, ВТБ-24 занимается проведением покупок на сайте РЖД через специальный шлюз своего партнера — «Мультикарты». Банк отвечает за процессинг, а сам сайт железных дорог не хранит никаких данных по картах. Бочкарев утверждает, что шлюз проверялся на предмет уязвимости, и никаких атак на шлюз в указанный период не было. 

Несколько иначе отреагировали другие банки и платежные сервисы — «Яндекс.Деньги», ТКС и «Рокетбанк». 

Обнаружив в базе «SOS! РЖД» около двенадцати своих клиентов, «Яндекс.Деньги» попросили выпускавшую их кредитную организацию временно заблокировать принадлежащие им карты. При этом, в «Яндекс.Деньгах» отметили, что утверждать о полной достоверности выложенных хакерами данных все же не могут. Выложенные на сайте сведения представители сервиса назвали «вызывающими сомнения». 

В ТКС (именно этот банк занимался выпуском карт для «Яндекс.Денег») аутентичность данных на «SOS! РЖД» также поставили под сомнение. 

Мы призываем клиентов не вводить данные своих карт на этом сайте для проверки, а обратиться непосредственно в ТКС Банк в случае обеспокоенности на предмет компрометации своих персональных данных. пресс-служба банка ТКС

Наконец, в «Рокетбанке» заявили, что «немедленно известили» всех клиентов, картам которых потенциально могла угрожать опасность. В банке подчеркнули, что их карты уже перевыпущены и в ближайшее время будут доставлены держателям. 

3. Есть ли другие достоверные подтверждения того, что информация по картам действительно могла быть похищена?

С по-настоящему достоверными подтверждениями все обстоит несколько сложнее. За сутки в комментариях к статьям об утечке появилось несколько десятков человек, утверждающих, что они обнаружили в базе свою карту и заказали ее перевыпуск. По большей части, никаких доказательств своим словам такие люди не приводили. 

Тем не менее, на момент написания этой заметки было известно как минимум о двух источниках, в той или иной степени заслуживающих доверия. 

Первый из них — директор по пользовательскому опыту компании Flexis Алексей Копылов. 16 апреля Копылов подтвердил Roem.ru, что нашел свою карту среди выложенных хакерами. В качестве доказательства он приложил фотографию карты, а также скриншот заказанного им на сайте РЖД билета на поезд из Петербурга в Москву. 

Карта Алексея Копылова действительно есть базе данных «SOS! РЖД». Однако, подозрения TJournal вызвала дата покупки, указанная в билете. Как писал в комментарии под постом Копылов, билет он покупал около 01:30 14 апреля. На скриншоте же стояла дата 15 апреля и время покупки 22 часа 35 минут. 

Хакеры из «SOS! РЖД» заявляли, что уязвимость на портале РЖД была устранена 14-го числа, а в открытый доступ они выложили лишь ту часть карт, операции по которым проводились в последний день ее существования. Карта, использовавшаяся для покупки билета 15-го апреля, таким образом не могла теоретически попасть в архив утекших данных. 

Поздее Алексей Копылов выложил снимок другого билета, заказанного на имя Н. Кашиной. Этот билет был куплен в половине второго ночи 14 апреля, как ранее и утверждал Копылов. По его словам, второй проездной документ он оформлял для своей жены. 

Существование проблем на шлюзе ВТБ-24 подтвердил TJournal и еще один человек — пользователь блогохостинга «Хабрахабр», 12 апреля опубликовавший пост о Heartbleed и той опасности, которую может нести баг для обычного пользователя. 

В посте блогер рассказывал, как 12 апреля пытался совершить покупку на сайте «одной российской интернет-компании». Дойдя до страницы с оплатой и попав на платежный шлюз банка, пользователь решил на всякий случай проверить шлюз на наличие уязвимостей. 

В итоге, из-за Heartbleed с шлюза удалось вытащить номер заказа, номер карты, CVV-код, а также имя и фамилию заказчика. 15 апреля в посте на «Хабре» появился апдейт — автор сообщал, что уязвимость в банковском шлюзе, наконец, устранили. 

15-го числа баг действительно уже был устранен. Я проверял. Уязвимость устранили где-то с понедельника на вторник, судя по всему. Собственно особых подтверждений и не нужно — баг в OpenSSL был много где, так что ничего удивительного с технической точки зрения не произошло. Сама утечка у меня сомнений не вызывает. Удивляют лишь попытки ВТБ-24 обелить себя.@deorf

4. Стоит ли беспокоиться?

На «SOS! РЖД» действительно есть данные каких-то банковских карт. Некоторые пользователи заявляют, что это и в самом деле их карты, другие — утверждают, что доверять сайту нельзя и рекомендуют не проверять на нем номер своей кредитки. 

Сайт и вправду вызывает определенные подозрения. На его главной странице есть ссылка, ведущая на ресурс под названием slon.im. Запущенный в конце 2013 года портал представляет из себя полупустой и заброшенный форум для обсуждения и обмена информацией по украденным банковским картам.

Окончательно прояснить ситуацию могут лишь в РЖД. Однако новой информации от руководителей компании пока не поступало. До тех пор проверять карту на «SOS! РЖД», пожалуй, не стоит. Если вы уже сделали это, лучше на всякий случай все же заказать перевыпуск.

#Статья #безопасность #РЖД #шифрование #ВТБ_24 #OpenSSL #SSL #уязвимость #баг #Heartbleed #безопаность_данных #что_такое_Heartbleed #утечка_данных_РЖД #утечка_данных_по_кредитным_картам #как_перевыпустить_карту