Яндекс.Деньги, ТКС, «Рокетбанк» отреагировали на возможную утечку данных банковских карт клиентов РЖД

Развитие событий: Банки (в т.ч. ВТБ24) заблокировали тысячи карт из-за утечки SOS-RZD, но источник утечки официально не признается спустя месяц после событий (7 мая 2014)

15 апреля на TJournal, со ссылкой на сайт sos-rzd.com, появилась информация о возможной утечке данных платежных карт через уязвимость в платежном шлюзе, который РЖД использует для продажи билетов через интернет.

По оценкам «Коммерсанта», РЖД является крупнейшим онлайн-продавцом в России по обороту:

На сайте sos-rzd.com, помимо заявления, выложены части номеров платежных банковских карт с именами и датами экспирации. Всего около десяти тысяч номеров.

По словам хакеров, утечка данных платежных карт стала возможна через эксплуатацию недавно обнаруженной в OpenSSL уязвимости HeartBleed и данные могли попасть не только в одни руки.

Создатели sos-rzd утверждают, что платежи для РЖД принимает ВТБ24.
В комментарии для TJournal пресс-секретаря ВТБ24 Артём Бочкарев пояснил, что все операции с билетами РЖД идут через шлюз «Мультикарты» — партнёра ВТБ.

Бочкарев также заметил:

Атака должна была быть совершена не на сайт РЖД, а на шлюз. На сайте РЖД данные карт не хранятся, атак на шлюз не было, а на предмет уязвимости он проверялся.

Единственное однозначное заявление от банка — это заявление об отсутствии атак на платежный шлюз. Однако в этом комментарии представитель банка не дает однозначной оценки данных, представленных на sos-rzd и не отрицает прямо их подлинности:

Если внимательно посмотреть на сайт, он уже сам по себе вызывает много вопросов: вместо фамилий используются цифры, сокращения, встречаются русские или неполные имена, чего не может быть в случае банковских карт. Очень похоже, что это просто фейк.

В комментарии TJ Бочкарёв назвал сайт «детским баловством» и сообщил, что для блокировок карт оснований нет.

В списке карт, выложенном на сайте, нашлось 12 карт с идентификатором банка таким же, как у карт Яндекс.Денег (выпускаемых ТКС).

Как пояснили в Яндекс.Деньгах:

На сайте sos-rzd можно найти BIN карт практически любого популярного российского банка. Хочу отметить, что с BIN 518901 выпускаются не только карты Яндекс.Денег.

Мы не готовы комментировать информацию по конкретным пользовательским данным, так как эти сведения конфиденциальные. Несмотря на то, что данные на сайте вызывают сомнения, еще вчера, как только появилась информация о возможной угрозе, мы попросили ТКС временно заблокировать карты всех пользователей, которые совершали покупки на сайте РЖД в период с 7 по 14 апреля.

Комментарий пресс-службы ТКС:

Очень много вопросов вызывает аутентичность данных, опубликованных на сайте SOS РЖД.

Мы призываем своих клиентов не вводить данные своих карт на этом сайте для проверки, а обратиться непосредственно в ТКС Банк в случае обеспокоенности на предмет компрометации своих персональных данных.

В настоящий момент мы анализируем счета тех клиентов, которые совершали покупки на сайте РЖД в период с 7 по 14 апреля. В случае подозрений на утечку данных в целях их сохранности карты будут блокироваться до выяснения обстоятельств. Хотелось бы подчеркнуть, что все карты ТКС Банка выпускаются с технологией 3D Secure, которая обеспечивает дополнительную защиту при совершении покупок в интернете и позволяет в режиме онлайн провести проверку подлинности при финансовой авторизации.

Все сервисы ТКС Банка изначально не были подвержены уязвимости Heartbleed, поскольку банк не использовал поддержку технологии Heartbeat протокола SSL ни в одной из систем, взаимодействующих с клиентами и клиентскими данными, однако мы призываем наших клиентов быть бдительными при вводе данных своих карт при оплате услуг на сторонних ресурсах.

16 апреля стали появляться свидетельства утечки через сайт РЖД, сопровождаемые в виде доказательства данными скомпрометированной карты «Рокетбанка» и данными купленного билета.

Комментарий пресс-службы «Рокетбанка»:

В результате хакерской атаки банковские карты, которыми производилась оплата за билеты, на сайте РЖД в период с 07.04.2014 по 14.04.2014 года, возможно попали в руки мошенников. Предположительно скомпрометировано более 200 000 карт многих банков.
Рокетбанк молниеносно отреагировал на ситуацию. Наши клиенты были немедленно извещены о возможных проблемах, их карты перевыпущены и будут бесплатно доставлены нашим любимым клиентам в самое ближайшее время.

(Добавлено 16 апреля, 19:20):

Чаще всего в списке на хакерском сайте встречаются карты ВТБ24 и Сбербанка:

Добавить 11 комментариев

  • Ответить

    аахаха, давайте так: Комментарий пресс-службы «Рокетбанка»:"В результате хакерской атаки банковские карты, которыми производилась оплата за билеты, на сайте РЖД в период с 07.04.2014 по 14.04.2014 года, возможно попали в руки мошенников. Рокетбанк молниеносно отреагировал на ситуацию. 2 наших клиента были немедленно извещены о возможных проблемах, их карты перевыпущены и будут бесплатно доставлены нашим любимым клиентам в самое ближайшее время."

  • Ответить

    Да-да, очень смешно. А карта однако довольно удобная, так что со мной как минимум 3 (а вообще, в твитторе было сказано, что перевыпускают 30 платившим в этот промежуток).

  • Ответить

    http://spark.ru/startup/53497caf595a6/blog/3276 проверь у себя на сайте «дырку» в которую утекли данные банковских карт с сайта РЖД через шлюз ВТБ24. На SiteSecure есть страница по проверке сайта на наличие этой уязвимости, из-за которой в РЖД произошла утечка.

  • Ответить

    Я думаю — это отголоски разборки вокруг создания национальной платежной системы. Катят бочку на одну из групп разработчиков или участников дележки пирога. ВТБ24 и его фин-тех компания репутационно пострадали. На группу ВТБ направлен информационный удар. У SiteSecure есть страница по проверке сайта на наличие этой уязвимости. Было на СПАРКе написано, как проверить у себя на сайте «дырку» в которую яко бы утекли данные 200 000 банковских карт: http://spark.ru/startup/53497caf595a6/blog/3276

  • Ответить

    Здравствуйте! Я точно также как и автор покупал билет на сайте РЖД 14 апреля. Все данные о моей карте верны. Карта банка Возрождение. Это не фейк! Причем карта использовалась ТОЛЬКО для покупки билета. ТОЛЬКО! И нигде более не светилась, НИКОГДА! Больше ничего и никогда через нее не покупалось. Ни офлайн, ни онлайн. Один единственный раз — это покупка билета РЖД, через шлюз ВТБ. Написал и в РЖД и в ВТБ. Жду ответа. Если Алексею (или администрации Роем) нужны будут подтверждающие данные, могу выслать точно такие же скриншоты с билетом и картой (но без права публикования в сети).

  • Ответить

    Подтверждаю! Карта 14 апреля использовалась для оплаты на сайте РЖД. Появилась в списке опубликованном на сайте sos-rzd.com И представители банков утверждающие что сайт sos-rzd.com занимается фишингом врут! Там не требуется вводить полный номер, более того, можно скачать файл со списком номеров. Указаны первые и последние цифры номера карты, первая и последняя цифра CVV кода. Это полностью доказывает реальность представленных данных. Позвонил в ВТБ24, сотрудник сказал «Возможно произошел технический сбой. Вы можете перевыпустить карту, может быть ваш банк сделает это вам бесплатно». Никаких извинений, сожалений. Вы оплачивали — ваша проблема, у нас всё хорошо. Мне от хостера пришли СМС утром 8 апреля «Ваш сайт подвергается серьезной опасности, срочно обновите ПО». Я сразу же обновил уязвимое ПО. Почему то один из крупнейших банков в РФ не только не побеспокоился об ликвидации проблемы в течении недели, но и теперь заявляет что все хорошо, никаких проблем нет.

  • Ответить

    Небольшое продолжение. Звонил в банк Возрождение, который выпускал мою карту. Они в курсе этой утечки. Все карты банка, засветившиеся на шлюзе ВТБ24 заблокированы на предмет интернет-платежей. Также написал о ситуации в ВТБ24. Никаких извинений также не получил. Был тупо ответ — «По вопросу компрометации Вашей карты рекомендуем обратиться в банк-эмитент карты.» Как говориться — спасибо за рекомендации. В связи с нынешними событиями ВТБ24 теперь для меня аналог какого-нибудь нигерийского деревенского банка. Лицемерные уроды.

  • Ответить

    Проверил свои данные, слово богу их нет. Мне повезло. Вообще конечно такое положение вежей с безопасностью ужасно! Самое печально что блокировали карты пользователей. Очень не круто когда ты в загранице, и тебе блочат твою карту.

  • Ответить

    К сожалению, вам не повезло. Были выложены данные только части карт. Скорее всего данные вашей карты тоже скомпрометированы. И в даном случае, блокируя вашу карту ваш банк защищает ваши деньги.