Алексей Копылов подтвердил утечку данных покупателей билетов РЖД

Обновлено 16:05 2014−04−16: комментарий Рокетбанка

В результате хакерской атаки банковские карты, которыми производилась оплата за билеты, на сайте РЖД в период с 07.04.2014 по 14.04.2014 года, возможно попали в руки мошенников. Предположительно скомпрометировано более 200 000 карт многих банков. Рокетбанк молниеносно отреагировал на ситуацию. Наши клиенты были немедленно извещены о возможных проблемах, их карты перевыпущены и будут бесплатно доставлены нашим любимым клиентам в самое ближайшее время.

Roem получил подтверждение от известного читателя, Алексея Копылова — утечка данных банковских карт клиентов РЖД была.

Нашел свою карту в базе скомпрометированных РЖД: https://t.co/LvcLWgCDaZ проверьте и вашу. Подробности: http://t.co/rHqcZBu8IJ

Данные о карте утекли при покупке этого билета для жены Алексея:

Обновлено: 19:15 2014−04−16. В тексте ошибочно был размещён скриншот не того электронного билета — правильный скриншот ниже:

При покупке этого билета на сайте РЖД утекли данные пластиковой карты

Утекли данные этой карты

По словам хакеров, утечка данных платежных карт стала возможна через эксплуатацию недавно обнаруженной в OpenSSL уязвимости HeartBleed и данные могли попасть не только в одни руки.

Лучшие комментарии

  • Контекст комментария

    kemko

    В предыдущей новости говорится, что за период с 7 по 14 апреля. > Если внимательно посмотреть на сайт, он уже сам по себе вызывает много вопросов: вместо фамилий используются цифры, сокращения, встречаются русские или неполные имена, чего не может быть в случае банковских карт. Очень похоже, что это просто фейк. К слову, бред тот еще. Hearthbleed — это не про то, как залезть в базу данных и извлечь данные о валидных транзакциях, а про то, как залезть в память веб-сервера и извлечь оттуда что-нибудь полезное, отправляемое другими (а если повезет — заодно увести закрытый ключ). Мало пользователей интернета, неправильно заполняющих формы? Конечно, ПО платежного шлюза на своей стороне отвалидирует отправленное и ругнется, если что-то заполнено неверно, но именно эти отправленные браузером данные, правильные они или нет, и получают через Hearthbleed. Да, какой-то процент добытых таким образом данных карточек будет неверным, но вряд ли такой, что вся затея теряет смысл. И это не говоря уже о том, что правильность фамилии, имени и billing address проверяется в США и, возможно, еще в каких-то странах, но точно не в России. Г-ну Бочкареву достаточно сообщить, какая версия openssl была установлена на серверах шлюза, содержался ли в ней уязвимый код, если содержался — когда было произведено обновление и был перевыпущен ssl-сертификат. Всё остальное — пустая болтовня.

Добавить 27 комментариев

  • Ответить

    В предыдущей новости говорится, что за период с 7 по 14 апреля. > Если внимательно посмотреть на сайт, он уже сам по себе вызывает много вопросов: вместо фамилий используются цифры, сокращения, встречаются русские или неполные имена, чего не может быть в случае банковских карт. Очень похоже, что это просто фейк. К слову, бред тот еще. Hearthbleed — это не про то, как залезть в базу данных и извлечь данные о валидных транзакциях, а про то, как залезть в память веб-сервера и извлечь оттуда что-нибудь полезное, отправляемое другими (а если повезет — заодно увести закрытый ключ). Мало пользователей интернета, неправильно заполняющих формы? Конечно, ПО платежного шлюза на своей стороне отвалидирует отправленное и ругнется, если что-то заполнено неверно, но именно эти отправленные браузером данные, правильные они или нет, и получают через Hearthbleed. Да, какой-то процент добытых таким образом данных карточек будет неверным, но вряд ли такой, что вся затея теряет смысл. И это не говоря уже о том, что правильность фамилии, имени и billing address проверяется в США и, возможно, еще в каких-то странах, но точно не в России. Г-ну Бочкареву достаточно сообщить, какая версия openssl была установлена на серверах шлюза, содержался ли в ней уязвимый код, если содержался — когда было произведено обновление и был перевыпущен ssl-сертификат. Всё остальное — пустая болтовня.

  • Ответить

    На сайте РЖД данные карты не передаются. Там идет переход на сайт ВТБ24. Который и осуществляет эквайринг. Если скомпрометирован, то сайт банка, а не сайт РЖД.

  • Ответить
    Юрий Синодов Основатель Roem.ru, sinodov.com

    Да. Только у РЖД есть своя голова на плечах, провайдера можно было бы и проверить на уязвимость. Да и сейчас РЖД и ВТБ24 жуют сопли, отрицая реальность. Но их можно понять. Это же жуть пиарщика: отвечать на запросы о том, о чём ты понятия не имеешь.

  • Ответить

    В самом деле, вопросы к банку должны быть, а не к сайту РЖД. А вот проверять карты на сайте, который якобы хакерами создан, я бы не рискнул — на фишинг похоже.

  • Ответить

    Фишинг? Ну так и что фишерам дадут 4 последних ИЛИ 6 первых цифр номера карты? Вопрос И к РЖД, ИТ отдел которой не почесался проверить и пнуть процессинг, И к процессингу, который якобы не почесался пропатчить уязвимость вплоть до 14 апреля. HTTPS на сайте РЖД тоже присутствует, например на странице авторизации.

  • Ответить
    Алексей Копылов Группа Flexis, iDecide

    Султан, так скриншот я сегодня сделал, точнее это не скриншот, а PDF который с сгенерировал из билета на сайте РЖД (с помощью функции печати). Поэтому и дата сегодняшняя.

  • Ответить

    Роем меня сегодня немного пугает. «утечка данных банковских карт клиентов РЖД» — РЖД-то тут при чем. Насколько я понял, почитав разные источники, на сайте РЖД данные карт не сохраняются. Все действия с данными и самим картами проходят на сайте банка. Поэтому говорить «скомпрометированных РЖД» некорректно.

  • Ответить

    Евгений Притчин, клиенты РЖД перестают быть клиентами РЖД, если РЖД принимает деньги от них не напрямую, а через подрядчика? РЖД перестает быть ответственной (хотя бы не по закону, а морально), если ею выбран подрядчик, бездействие которого привело к утечке данных? РЖД клиент мультикарты? Клиенты РЖД перенаправлялись для оплаты в мультикарту? У мультикарты данные утекли? Что именно тогда некорректно в заголовке-то?

  • Ответить
    Юрий Синодов Основатель Roem.ru, sinodov.com

    Евгений, а они не клиенты РЖД? Вот эта, извините за выражение, блядская концепция безответственности: «Мы страусы, наша голова в песке, общайтесь с процессингом, это его зона ответственности, а у нас вот договор, мы ничего не должны» это что? Это почему никого не волнует? 4 миллиона долларов на компенсации заставят отказаться от шубохранилища или что? РЖД хочет или нет, чтобы люди не боялись покупать билеты на его сайте? С его субподрядчиками?

  • Ответить

    РЖД хочет. Команде разработки похер. Путь от тех людей, которые в РЖД хотят до команды разработки длинен и заковырист (иначе и сам сайт был бы нормальным). Вряд ли эти люди когда-то общались друг с другом.

  • Ответить

    filippenko: простите, но как человек который в своей области постоянно сталкивают с «всем похер», интересуюсь — как это так «РЖД хочет», и «команде разработки похер», «вряд ли эти люди общались друг с другом»? В моей «бинарной логике», если РЖД хочет, то как минмиум формулирует требования к результату. Да, общаться напрямую с разработкой даже не обязательно, но результат-то им нужен хороший?

  • Ответить

    > интересуюсь > Путь от тех людей, которые в РЖД хотят до команды разработки длинен и заковырист. Особенности крупной компании/корпорации.

  • Ответить

    Здравствуйте! Я точно также как и автор покупал билет на сайте РЖД 14 апреля. Все данные о моей карте верны. Карта банка Возрождение. Это не фейк! Причем карта использовалась ТОЛЬКО для покупки билета. ТОЛЬКО! И нигде более не светилась, НИКОГДА! Больше ничего и никогда через нее не покупалось. Ни офлайн, ни онлайн. Один единственный раз — это покупка билета РЖД, через шлюз ВТБ. Написал и в РЖД и в ВТБ. Жду ответа. Если Алексею (или администрации Роем) нужны будут подтверждающие данные, могу выслать точно такие же скриншоты с билетом и картой (но без права публикования в сети).

  • Ответить

    + 1 к предыдущему комментарию. Подтверждаю про использование всего ОДИН в сети на сайте РЖД (8 апреля) и с первого же раза — попадание. Про наличие карты на сайте не скажу, не проверяла. Но, видимо, мой банк проверил, т.к. о ситуации узнала вчера — в полдень смс от банка о возможной компрометации карты, чуть позже из публикаций в сети прочитала и поняла почему заблокировали. Но у меня кредитка (то есть новость не ужаснула, мои деньги не пострадали бы), и после покупки билета (8-го числа) ни одной операции, судя по отсутствию смс, по карте не было. То есть мой банк узнал о ситуации, получается, из публикаций или только вчера начали деньги со счетов утекать? Если начали. Чего они неделю ждали? И что теперь посоветуете делать? К кому претензии выдвигать? И надо ли это делать, если деньги не утекли. Наверное. Хотя неудобства, конечно, доставили: средства платежа лишили на какое-то время и еще время придется тратить на походы за новой картой.