Данные около 70 000 карт были скомпрометированы на платежном шлюзе РЖД

    Еще одна печальная новость из мира Heartbleed, о которой стало известно вчера.

    image


    Данные карточек, которые использовались для покупки билетов на сайте РЖД были скомпрометированы по той простой причине, что уязвимость Heartbleed была закрыта на нем только спустя неделю (15.04.2013). Все это время неизвестные злоумышленники могли безнаказанно воровать данные с сайта, пользуясь нашумевшей уязвимостью.

    Для привлечения внимания к проблеме и чтобы мотивировать пользователей перевыпустить свои карты неизвестными хакерами был создан сайт sos-rzd.com, на котором выложен дамп платежных данных за 14 апреля. Общее количество записей 10532, что позволяет говорить о примерно 70 тысячах карточках скомпрометированных за неделю с момента уязвимости. Сами авторы называют почему то цифру 200 тысяч.

    В этой ситуации выглядит странной реакция РЖД и самого банка ВТБ24. Они полностью отрицают уязвимость и обвиняют сайт в фишинговой деятельности

    Вот комментарий от пресс-службы ВТБ24 с сайта РБК
    «Никаких атак на платежный шлюз, через который проходит покупка билетов на сайте www.rzd.ru, не было. Шлюз защищен последней версией стандарта безопасности данных платежных карт. Всем клиентам, совершающим транзакции через него, гарантируется абсолютная безопасность платежей», — заявил РБК представитель пресс-службы кредитной организации. Источник РБК в банке уверен: сайт создан для того, чтобы его посетители оставляли там данные своих карт.

    Однако это заявление не соответствует действительности. Уязвимость на сайт РЖД была, об этом писал автор в топике Чем грозит Heartbleed простому пользователю?, он подтверждает что уязвимость им была обнаружена именно на шлюзе ВТБ24 и именно на сайте РЖД.

    Еще один комментарий от пресс-службы
    Если внимательно посмотреть на сайт, он уже сам по себе вызывает много вопросов: вместо фамилий используются цифры, сокращения, встречаются русские или неполные имена, чего не может быть в случае банковских карт. Очень похоже, что это просто фейк.

    Тоже очень странное заявление. Уязвимость позволяет получить данные из памяти сервера, соответственно, если пользователь ввел неполные или некорректные данные, то они будут такими же и в дампе. Однако подлинность большинства данных подтверждают сами пользователи. Например, Алексей Копылов, один из директоров компании Flexis, подтверждает, что его данные есть в этом списке и приводит фотографию карточки + скриншот электронного билета.

    image


    Также подлинность данных косвенно подтверждает Виктор Лысенко, СЕО Рокетбанка, пообещав перевыпустить все карточки из списка.

    Не сходится также и с фишинговой деятельностью. Сайт предлагает проверить только 10 из 16 цифр номера карты. А также для особо недоверчивых дает возможность скачать базу в виде файла и проверить локально.

    Более того, складывается впечатление что против сайта запущена кампания в СМИ. Такие крупные сайты как РБК, SecurityLab, JustMedia и другие, не разобравшись в вопросе, занимают позицию ВТБ24 и называют сайт фишинговым.

    Печально, что крупные российские компании вместо того, чтобы признать проблему и совместно принять меры для ее решения, делают вид, что ничего не произошло, параллельно, пытаясь заткнуть рот неравнодушным ИТ-специалистам.
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 260
    • +62
      Всем клиентам, совершающим транзакции через него, гарантируется абсолютная безопасность платежей
      гарантируется абсолютная безопасность платежей
      абсолютная безопасность платежей
      абсолютная безопасность платежей

      Ничего, еще пяточек лет цензуры в интернетах — и безопасность действительно станет абсолютной.
      • +5
        Вот, специально отмониторил крупные западные СМИ: через два дня после выявления уязвимости на главной washingtonpost было пять упоминаний (Ctrl+F «heartbleed») из них две на первом же экране (одна из них первой в шапке), аналогично на cnn (4+шапка) и NY times(5). Всё ещё на главных есть упоминания, но уже о поимке канадских взломщиков (не вникал). Контрастирует с нашими государств олигархичес нецензурируемыми СМИ.
        А самое вкусное — устранением последствий уязвимости занимается Министерство Внутренней Безопасности (пруф), т.е. государственные органы взяли на себя ответственность по мониторингу, закрытию дыр и координации!

        А наши банки вполне очевидно боятся признать какие-либо утечки, т.к. им это грозит серьёзными санкциями, особенно после всего того шухера, который наводили совсем недавно.
        PS: Не сочувствую банкам (паразиты же), но их отделы безопасности в полной цугцванг.
        • +1
          банки обязаны на периодической основе отчитываться в ЦБ и ФСБ (по части криптографии) об инцидентах. какими санкциями им что-то грозит?

          • +1
            А наши банки вполне очевидно боятся признать какие-либо утечки, т.к. им это грозит серьёзными санкциями, особенно после всего того шухера, который наводили совсем недавно.

            И открвенно лгут www.banki.ru/news/daytheme/?id=6443641
          • +7
            Новый законопроект предполагает внесение изменений сразу в ряд законов: «О банках и банковской деятельности» (№17-ФЗ), «О СМИ» (№2124-1), «Об информации, информационных технологиях и о защите информации» (№149-ФЗ) и в КоАП.

            Итак, по данному законопроекту на ЦБ РФ возлагается контроль за распространением заведомо недостоверной информации о банках и иных кредитных организациях.
            В СМИ «запрещается распространение заведомо недостоверной информации о банках и публичных организациях в печатных изданиях, аудио- или видео программах, радио-, теле, видео, кинопрограммах, в виде размещения в сети Интернет материалов, при проведении собраний и встреч с гражданами, публичных дебатов и дискуссий, митингов и демонстраций, посредством выпуска и распространения печатных, аудиовизуальных и других материалов, а также иным способами», а должностные лица органов власти «не вправе комментировать факты, касающиеся банков или публичных организаций до появления информации, размещенной на официальных информационных ресурсах этих органов».

            Одновременно с этим реестр запрещенных сайтов предлагается дополнить новым разделом — по немедленному блокированию сайтов содержащей заведомо недостоверную информацию о банках и публичных организациях.

            rublacklist.net/7244/
            • +1
              В переводе с юридического языка на бытовой слово «недостоверная» следует понимать как «неугодная банкам»?
              • 0
                Увидят вот эту статью и закроют наш любимый хабр.
            • +156
              image
              • +1
                Вместо тысячи слов…
                • 0
                  Припишут вам изображение детей в контексте «только для взрослых», и понесется…

                  Сами же знаете, есть блюстители, которым образы девочек никак не по сердцу.

                  Возьмите фото проводницы 60-го уровня, к ней, как известно, не прикопаешься )

                  ну или — img.nr2.ru/pict/arts1/r13/dop1/13/10/332.jpg
                  • 0
                    К слову, о безответственности,
                    По словам Михаила Задорнова, новую систему можно построить примерно за полгода (национальная система платежных карт).
                    На коленке соберут систему — потом Мы опять будем страдать — полная безответственность!
                    • 0
                      ПРО100 в УЭК вполне нормально работает (не считая отсутствия CNP-операций), что они еще там собрались пилить строить?
                      • 0
                        в соседнем же топике пробегала инфа: мастеркард в любой момент может отозвать лицензию на приложение используемое в этом вашем «нормально работающем» ПРО100.
                  • 0
                    Я час назад хотел купить билет в ржд, но вспомнил про heartbleed и решил подождать до завтра, кинуть деньги на qiwi и оплатить виртуальной картой.
                    • +1
                      ну в принципе, они дырку уже закрыли. так что можно было и картой платить.
                      • +1
                        Главное чтобы в Киви OpenSSL был обновленный )
                      • +92
                        Это происки американцев. Они обманом заманили РЖД и ВТБ пользоваться империалистической openssl, а потом подло опубликовали уязвимость, не уведомив сотрудников банка в установленном порядке за тридцать рабочих дней в письменном виде. А потом ещё применяют политику двойных стандартов и утверждают, что это сотрудники банка должны за американскими CVE бегать хвостиком, вместо того, чтобы разрабочики в письменной форме с предварительным утверждением и заверенным апостилем присылали бы телефонограммы на имя зам. начальника отдела информатизации.
                        • +14
                          все так, а soz-rzd хостится в американском дата-центре ЦРУ
                          • +11
                            О чем неопровержимо свидетельствует .com. Всем известно, что сайты .com они американские, только .ru правильные!
                            • +33
                              самые правильные.рф
                              • +1
                                А так-то скоро надо будет свои сайты держать только на Русском Хостинге… имея только Русский домен… да и то по паспорту.
                          • +3
                            потом подло опубликовали уязвимость, не уведомив сотрудников банка в установленном порядке за тридцать рабочих дней в письменном виде


                            Коллега, вы не подскажете по ГОСТам подобные документы факсом переслать можно или нарочным засылать следует?
                            • 0
                              Апостиль (заверенный нотариусом перевод). Можно курьером, можно заказным почтой России.
                              • +3
                                На дискетке
                                • +2
                                  И что зам. начальника информацизации ВТБ будет делать с дискеткой в одной руке и айпадиком (за 15кк руб — была тут новость) в другой?

                                  Только телефонограмма, только с апостилем.
                                  • +2
                                    Отправит в архив, как и сотни писем об уязвимости
                                    • +27
                                      image
                                      • +4
                                        И что зам. начальника информацизации ВТБ будет делать с дискеткой в одной руке и айпадиком (за 15кк руб — была тут новость) в другой?


                                        Мой вариант — пристеплерит друг к другу.
                                        • 0
                                          Ну вот только не надо гротеска — даже зам. начальника отдела информатизации ВТБ24 знает, что степлер в айпадик вгонять не надо.
                                          • +4
                                            Ну вот только не надо гротеска — даже зам. начальника отдела информатизации ВТБ24 знает, что степлер в айпадик вгонять не надо.


                                            Нож цепляться будет?

                                • 0
                                  на имя зам. начальника отдела автоматизированных систем управления же
                                • +4
                                  «Никаких атак на платежный шлюз, через который проходит покупка билетов на сайте www.rzd.ru, не было. Шлюз защищен последней версией стандарта безопасности данных платежных карт.


                                  Если внимательно посмотреть на сайт, он уже сам по себе вызывает много вопросов


                                  Руководство банка просто не поняло как это. По бумагам («за что ТАКОЕ бабло плачено?!») они абсолютно безопасны, а 50к карточек у них увели. А что не понятно — того нет, это все знают! Вот и изложило нам руководство ВТБ24 (крупнейший банк в РФ, его руководство вообще не обязано знать, что существует интернет ;) ) свою версию реальности.

                                  А вообще идея для фишинга шикарная.

                                  • +34
                                    По бумагам

                                    В этом большая проблема, когда дело касается безопасности. По крайней мере в РФ точно.
                                    Я, ещё будучи студентом, недоумевал каждый раз, когда речь заходила о сертифицированных ФСТЭКом/ФСБ продуктах. Да. Закладок нет в системах и программах. Но они же дырявые без апдейтов, как дуршлаги. Толку-то от такой сертификации? Данные и так утекут. Одним словом, бумажная безопасность.
                                    • +33
                                      хороший термин «бумажная безопасность»
                                      • +43
                                        При этом каждый раз, когда я говорю о том, что сертификат удостоверяет что сертифицируемый продукт прошёл процедуры получения сертификата и получил сертификат в соответствии с правилами получения сертификата, меня security-люди обычно минусуют. Мол, там эксперты, которые точно знают и всё делают правильно.
                                        • +3
                                          Да это не security люди минусуют.они то как раз знают и понимают. А вот простой народ (пусть и с айти уклоном) верит во всякие бумажные сертификации.
                                      • +8
                                        Сертифицированное ПО обновляется с сертифицированных серверов обновления сертификатора сертифицированными обновлениями. Если, например, винда с сертификатом ФСТЭК. Линуксы военные обновляются только выпусками новыми. Докторвеб сертифицированный для Минобороны рассылаемыми по спецпочте запечатанными конвертами. Раз в квартал. Я не шучу и не придумываю.
                                        • +1
                                          Вот что-что, а чем отличаются ФСТЭКовские установщики винды от ретейловых мы так понять и не смогли. Ну кроме подтверждения что закладок вроде как нет. Да и никаких сертифицированных обновлений они, насколько я знаю, не предоставляют. По крайней мере нам все приходится обновлять WSUS'ом теми же обновлениями что Microsoft выпускает для всех остальных.
                                          • +1
                                            Не то и не там брали. Мы недавно брали еще XP (!!!), так легко гуглится тот магазин, в котором в комплект входит:

                                            1. Верификация установочного комплекта ПО (дистрибутива)*6.

                                            2. Бессрочный абонемент на сертификационную поддержку (на получение сертифицированных обновлений, информационных и консультационных услуг по применению сертифицированных версий ПО)

                                            3. Формуляр на сертифицируемое ПО, промаркированный Голографическим специальным знаком соответствия ФСТЭК России.

                                            4. Копия Сертификата ФСТЭК России на поставляемое ПО, заверенная печатью Заявителя.

                                            5. Формуляр на программу контроля сертифицированной версии ПО Check.

                                            6. Медиа-Кит (CD-диск), содержащий:

                                            6.1. Дистрибутив программы контроля сертифицированной версии ПО Check;

                                            6.2. Руководство по безопасной настройке и контролю сертифицированного ПО;

                                            6.3. Руководство по получению сертифицированных обновлений;

                                            6.4. Драйверы и утилиты для USB-ключей eToken, а также руководства по установке, настройке и работе с ними;

                                            6.5. Набор информационных материалов на сертифицированное ПО.


                                            Дистрибутивные диски одинаковые до байта. Платите Вы за документацию и обновления.
                                            • 0
                                              Скорее всего платится за
                                              3. Формуляр на сертифицируемое ПО, промаркированный Голографическим специальным знаком соответствия ФСТЭК России.

                                              4. Копия Сертификата ФСТЭК России на поставляемое ПО, заверенная печатью Заявителя.

                                              • 0
                                                Я это подразумевал под документацией.
                                          • 0
                                            Как раз недавно встретился докторвеб в одной из презентаций по уязвимостям в антивирусах breaking av software.pdf Кому неинтересно читать, можно смело мотать на 85 страницу. Как оказалось, сертифицированный Минобороны и все-все-все, докторвеб обновляется исключительно через http, т.е. возможен MITM и, как результат, выполнение произвольного кода на клиенте. К таким моментам уже привык.
                                            • 0
                                              возможен MITM — не означает что он есть. Ассиметричное шифрование поможет контролировать от кого получены данные
                                              • +2
                                                Поясните, что в данном случае подразумевается под асимметричным шифрованием? В презентации явно сказано, ssl\tls отсутствует, обновления никак не подписываются. Более того, баг проверен на практике.
                                                • –3
                                                  Я выразился против обобщения о взаимосвязи MITM и http. Если приложение использует http, то MITM в нём может и не быть. Если вы говорите о существующем баге — так и пишите что в приложении таком есть MITM. Не совсем корректно сформулировано было.
                                                  Про ассиметричное шифрование — ЭЦП передаётся по открытому (то есть незащищённому, доступному для наблюдения, например http) каналу и используется для проверки полученных данных, что защитит от MITM
                                              • +2
                                                Достаточно подписать сами обновления и не будет никакого MITM. То есть, обновления-то левые вы подсунуть сможете, но их подпись не совпадёт.
                                                • 0
                                                  Ну там где требуется сертификация от минобра интернета нет. По крайней мере официально быть не должно.
                                                  И обновления к сертифицированному дрвебу приходят не через сеть. Так что функционал обновления там исключительно для использования внутри охраняемого контура.
                                                  Если говорить про гражданский (кстати, сертифицирован пока что только drweb 6) Так обновления действительно подписаны. Вы не подсунете левый исполняемый код.
                                                  • +2
                                                    Пару вопросов, если можно:
                                                    Вы уверены, что есть существенная разница между «гражданским» и «минобороновским» др.вебом в плане кода? Дает ли право делать такие ошибки в подобного рода ПО тот факт, что скорее всего оно будет использоваться внутри полностью закрытой сети?

                                                    В презентации явно написано, что ЭЦП не используется, для обновления компонентов в том числе. Я склонен верить этой информации, хотя можно и проверить.
                                                    • 0
                                                      Вы уверены, что есть существенная разница между «гражданским» и «минобороновским» др.вебом в плане кода? Дает ли право делать такие ошибки в подобного рода ПО тот факт, что скорее всего оно будет использоваться внутри полностью закрытой сети?


                                                      Я уверен на 100%, что разницы нет никакой. Сертифицированный drweb == drweb 6 + бумага о сертификации.

                                                      В случае сертифицированного ПО нет слова «скорее всего». Оно должно использоваться внутри закрытой сети. Это касательно любых объектов, где обрабатывается информация от ДСП и выше.

                                                      С другой стороны гражданское применение. Я сейчас проверил сам, благо есть сервер с обновлениями drweb'а под рукой. Так вот для обновлений там действительно, как написано в статье используется исключительно crc32 и исключительно для проверки целостности при передаче, так как файл с crc32 передается вместе с данными. Так что для гражданского применения плевок в сторону дрвеба принимается.

                                                      Я не оправдываю и не поддерживаю существующую в РФ систему сертификации ПО имени МО, ФСБ и ФСТЭК. Я по долгу службы лучше многих понимаю, что существует оно в нынешнем виде в первую очередь для того, чтоб кормились люди при сертифицирующих организациях. Но вот в случае drweb'а организационные меры по обеспечению безопасности информации делают допустимым использование открытых протоколов с точки зрения стандартов безопасности в РФ.
                                                  • –3
                                                    Слышу звон, да не знаю, где он.
                                                    Отсутствие SSL в канале передачи далеко не значит, что ПО съест всё, что вы ему подсунете.
                                                    Короче говоря, сделали большие глаза и громко кричим, что взломали dr.web. Только вот дальше «а я бы мог» дело там не пойдет. Удачи =)
                                                    • +1
                                                      Да сколько можно? :) Прочитайте наконец презентацию, прочитайте комментарии выше и поймете о чем речь.
                                                      • –27
                                                        Сколько нужно. Мне не интересны домыслы, ни выше, ни ниже. Презентацию я читал, хотя и по диагонали… но это компенсируется тем, что я знаю как работает наше обновление и что там можно и что опасно, и что нет. Я — знаю, вы — нет.
                                                        • 0
                                                          Так и рассказали бы, вместо того, чтобы этим размахивать, как индульгенцией на д'Артаньяновщину.
                                                          • +66
                                                            Challenge Accepted
                                                            • +3
                                                              Товарищ, ты крут. За что люблю хабр, так это за то, что здесь слов на ветер не бросают, а делом показывают что и как.
                                                    • +3
                                                      Сертифицированное ПО обновляется с сертифицированных серверов обновления сертификатора сертифицированными обновлениями.

                                                      Хорошая скороговорка. Хайтечная :)
                                                      • 0
                                                        Докторвеб сертифицированный для Минобороны рассылаемыми по спецпочте запечатанными конвертами

                                                        Примерно то же самое и с продуктами Лаборатории Касперского, сертифицированными ФСТЭК и ФСБ.
                                                      • 0
                                                        Она точно такая же везде. Или про историю с OpenSSL и Dual EC DRBG все уже забыли? Когда для целей сертификации в OpenSSL был добавлен дырявый аглоритм но никого не волновало то, что он никогда не работал? И изменить уже ничего нельзя (ни пофиксить его ни выкорчевать), так как потребуется заново все сертификаты получать!
                                                        • +1
                                                          Ох-ох. В точку. Радуйтесь, что Вам не пришлось с ними работать. Потому как они дырявые, как сито, даже с последними апдейтами.

                                                          Да. Закладок нет в системах и программах.

                                                          Ну как сказать. В софте от отечественного производителя так можно сказать с большой долей вероятности. Но, соглашусь с Вами — отсутствие закладок компенсируется таким количеством багов, что непонятно, как продукт смог вообще пройти внутреннее тестирование…
                                                          Что же касается сертифицированных версий Windows, то тут вообще не все так просто. Даже если будешь знать где искать закладку, не факт что найдешь.
                                                      • +2
                                                        Как раз 14го покупал билет, и полюбопытствовав, проверил платежный шлюз на уязвимость (в итоге покупал через интернет-банк своего банка). Самое интересное, что после звонка им ни кто не хотел меня соединить с каким либо тех персоналом, хотя я явно говорил, что у них дыра и что данные карт можно украсть. Не знаю также возымело какой то эффект письмо на все адреса что были на сайте втб.
                                                        • +2
                                                          Пока с карточек у людей не начнут массово пропадать миллиарды, они не забегают.
                                                          • +1
                                                            Учитывая темпы инфляции, можно успокоиться лет на 50. :)
                                                          • –1
                                                            Вас ещё и хаккиром могут обозвать и заяву накатать
                                                          • +2
                                                            Интересно, будет какое-нибудь наказание от МПС за нерасторопность банков и платёжных шлюзов?
                                                            • +50
                                                              Максимум накажут владельцев сайта sos-rzd.com.
                                                              • +1
                                                                Это к гадалке не ходи…
                                                                • 0
                                                                  Ну, вообще, даже если дверь склада вдруг открыта а сторож задремал — поживиться на том складе всё равно будет считаться кражей.
                                                                  • 0
                                                                    Поживиться — да. А зайти и сфотографировать эту чудную картину?
                                                                    • 0
                                                                      Ну тут аналогия немного некорректна тогда.
                                                                      Сайт распространяет краденые персданные.
                                                                      Это преступление.
                                                                      • 0
                                                                        С каких пор 10 цифр из номера карты, дата + имя держателя (обычно имя+фамилия, иногда + инициал) стали защищаемыми персональными данными?

                                                                        У вас каждый магазин/кафе берёт письменное согласие на обработку ПДн? То на слипе-то часто есть carholders name, exp date и те же 10 цифр (6 первых, 4 последних) из номера карты.
                                                                        • 0
                                                                          Это в исключениях в том же законе. Если необходимо, то можно. В остальных случаях просто так нельзя.
                                                                        • 0
                                                                          Это спорный вопрос, можно ли считать выложенное персональными данными. Тут люди спорят, не фейк ли это, а вы говорите, что с помощью этих данных можно кого-то идентифицировать. На хабре даже статья была на тему персональных данных, там этот вопрос освещался, вроде бы.
                                                                • –31
                                                                  Ну пока не будет свидетельств пострадавших, верить на 100% в это не стоит.
                                                                  • +11
                                                                    Например, Алексей Копылов, один из директоров компании Flexis, подтверждает, что его данные есть в этом списке и приводит фотографию карточки + скриншот электронного билета.

                                                                    Каких именно свидетельств?
                                                                  • 0
                                                                    Так свидетельства-то уже есть, при том вполне известных людей.
                                                                    • 0
                                                                      Пострадавшие будут, только когда начнут утекать деньги. А это может быть совсем не скоро, когда про этот баг все благополучно забудут.
                                                                      • 0
                                                                        строго говоря их может и не быть, потому что достоверно не известно попали ли данные в плохие руки или нет, за исключением парней с sos-rzd
                                                                      • +5
                                                                        Ага. Загорелась на приборке авто «Check engine». Пока кулак дружбы не покажет, верить на 100% не стоит. Ну едет же вроде!
                                                                      • +4
                                                                        Завел себе вторую дебетовую карту и интернет-платежи произвожу только с нее. Перед оплатой кидаю средства, произвожу операцию — и на карте снова 1 рубль. :-)
                                                                        • +23
                                                                          \<sarcasm\>Вы ведёте себя как человек, которому есть, что скрывать.\</sarcasm\>
                                                                          • +1
                                                                            Спасибо за комплимент.
                                                                            У такого метода повышения безопасности есть еще один плюс.
                                                                            Когда ваш банк вдруг внезапно входит в режим Panic (он же режим Paranoic), то порой на попытку снять наличность в банкомате другой страны или расплатиться картой за рубежом он реагирует блокировкой карты (восстановить можно только путем перевыпуска), если не может вам дозвониться (а в вашем часовом поясе ночь и телефон выключен).
                                                                            • +3
                                                                              Некоторые банки просто не звонят, хотя утверждают, что это так. Кстати, тот же ВТБ24.
                                                                              • 0
                                                                                Вот да. Заблокировали карту за покупки на ебее, ни сказав, ни написав. Обнаружил в самый неподходящий момент, после чего со скандалом разорвал с ними договор.
                                                                                • 0
                                                                                  Покупки на EBay должны проходить через PayPal. Не слышал ни разу, чтобы за PayPal кого-то блокировали. Что у Вас за банк такой, интересно?)
                                                                                  • 0
                                                                                    Дак я ответил на жалобу на ВТБ24 — он у меня и был в то время.
                                                                                    • 0
                                                                                      ВТБ не позволяет платить через PayPal с некоторых своих карт, по крайней мере так раньше было.
                                                                            • +3
                                                                              К сожалению, такой финт не поможет, когда нужно купить на кредитные деньги. Если с нее кинуть на дебетовую, то сразу комиссия снимется и грейс не будет считаться
                                                                            • +5
                                                                              Кто там ночальнег ИТ? Если чей-то сынуля, то будут отмазывать до последнего. Если нет, то на hh.ru скоро появятся новые вакансии…
                                                                              • –1
                                                                                По ссылке ненавязчивая такая реклама очередного античата… Грамотно ;)
                                                                                • +6
                                                                                  Ребятки, я вас не понимаю. При регистрации черным по белому написано

                                                                                  указанные мною регистрационные данные являются общедоступными персональными данными, не нуждающимися в защите;

                                                                                  Чего вы еще хотели?
                                                                                  • –23
                                                                                    А кто-нибудь может объяснить каким образом была эксплуатирована уязвимость?
                                                                                    Насколько я понимаю, атака в данном случае возможна только типа man-in-the-middle, то есть у злоумышленника должна быть возможность либо слушать весь трафик от покупателя до сайта процессингового центра, либо возможность выдавать свой фишиговый сайт за сайт РЖД (путем, например, подмены ДНС), при этом браузер будет вести себя так, как будто это настоящий сайт.
                                                                                    Первое требует приближенности злоумышленника к инфраструктуре процессинга, второе доступа к зараженным машинам покупателей или днс-серверов. И, если предположить, что один из этих ресурсов оказался в руках у злоумышлоенника, то совсем не понятно, откуда данные карт у создателя сайта сос-ржд.
                                                                                    Или я не прав?
                                                                                    • +14
                                                                                      … Да ведь уже разжевано 10 раз. Шлете на сервер запрос — в ответ получаете случайный кусок памяти. Шлете много запросов, получаете много кусков, парсите == профит. Причем тут MITM?
                                                                                      • +7
                                                                                        Спасибо, перечитал статьи про Heartbleed внимательней.
                                                                                        • +17
                                                                                          Наконец-то. 17 апреля)
                                                                                          • +10
                                                                                            Молодец, самое главное вовремя все понять. Вон пацаны понял спустя неделю. Это нормальная практика
                                                                                        • +27
                                                                                          Админ РЖД?
                                                                                          • +34
                                                                                            image
                                                                                            Проще некуда объяснение.
                                                                                            • +4
                                                                                              Вот ещё, чуть более подробное видео.
                                                                                        • +7
                                                                                          Непосредственно связан с безопасностью данных по картам одного крупного российско-европейского банка.
                                                                                          У нас порядка 200 карт было скомпрометировано за эту неделю на сайте РЖД, возможно больше. Все они рабочие.
                                                                                          Пока принято решение массово их не перевыпускать, будем смотреть активность.
                                                                                          • +29
                                                                                            Как жаль, что все мы не знаем названия этого банка и не можем отказаться от его услуг и знакомым отсоветовать его.
                                                                                            • +4
                                                                                              Могу вас заверить, что одного-двух прецендентов фрода по данным картам хватит, чтобы соответствующее решение было принято.
                                                                                              • +2
                                                                                                Ну кардеры тоже не все тупые, дадут отлежаться.
                                                                                                • +40
                                                                                                  Ну конечно, один-два человека, оставшихся без средств — кого это ебёт в банковском мире, сами виноваты, неудачники.
                                                                                                  • –7
                                                                                                    Большинство операций через интернет оспаривается в пользу клиента. Если клиент, конечно же, не пытается обмануть банк.
                                                                                                    • +11
                                                                                                      … через 60 дней в лучшем случае, через суд — в худшем, вы забыли уточнить.
                                                                                                      • –1
                                                                                                        По текущим правилам — за один день.
                                                                                                        • +4
                                                                                                          Я, видимо, что-то пропустил. Известные мне success story заканчивались через 10 месяцев минимум.
                                                                                                          • 0
                                                                                                            Тут же ситуация несколько иная: эти карты уже помечены как «попавшие в зону риска не по вине владельца». Так что вполне можно ожидать что по вот конкретно этим картам решение будет приниматься один день, а не 10 месяцев. А так, да, обычно это процедура небыстрая.
                                                                                                            • 0
                                                                                                              Ну да, ну да. Если знаете банк, который решает такие вопросы за один день вместо тягомотины и судов, дайте мне знать.
                                                                                                    • +6
                                                                                                      знаете, в одном сильно проходном месте на банкомате нашли скиммер, банк заблокировал все карты, которые прошли через этот банкомат за срок работы скимера (срок между двух инкассаций).
                                                                                                      Знаете сколько народу возмущалось?
                                                                                                      им объясняли, что карта скомпрометирована, с нее могут снять ваши деньги, все равно люди возмущались.

                                                                                                      поэтому палка о двух концах, банк вынужден думать о том, когда его будут меньше ругать
                                                                                                      • +3
                                                                                                        А должен о людях думать.
                                                                                                        • +7
                                                                                                          им объясняли, что карта скомпрометирована, с нее могут снять ваши деньги, все равно люди возмущались.

                                                                                                          Смотря как объяснять.
                                                                                                          1) «В целях безопасности ваша карта заблокирована»
                                                                                                          2) «В то время, когда вы пользовались картой, на банкомате стояло считывающее устройство. Теперь злоумышленники имеют к ней полный доступ.»

                                                                                                          Сдаётся мне, банк «объяснял» по первому варианту. Во всяком случае так часто бывает.
                                                                                                          • +5
                                                                                                            Да и заблокировать можно по разному. Можно позвонить, спросить в какое отделение банка доставить новую карту и заблокировать старую только после того, как человек получит новую. Можно прислать СМС «ваша карта заблокированна, обратитесь в отделение банка, которе выпустило карту и напишите заявление на перевыпуск каты».
                                                                                                            • +1
                                                                                                              Сбер блочит и примерно такую СМС присылает.
                                                                                                              • 0
                                                                                                                Когда в сбере перевыпуск карты длится месяц, а счёт заблокированной карты также блокируется и в интернет-банкинге, я бы тоже возмущался.
                                                                                                                • 0
                                                                                                                  В отделении я снимал по заблокированной карте, через СБОЛ не пробовал что-то делать с ней. Про перевыпуск дольше двух недель уже давно не слышал.
                                                                                                                  • +1
                                                                                                                    Уже имели печальный опыт, похоже, придётся повторить. При нахождении в регионе, отличном от региона выдачи карты, любые действия усложняются (если вообще не становятся недоступными), а сроки увеличиваются в разы.
                                                                                                                    • 0
                                                                                                                      Ну вот я такой и есть. 2 недели, в ближайшем отделении у дома.
                                                                                                                      • 0
                                                                                                                        Прямо-таки удивительное рядом. Возможно, зависит от регионов, квалификации специалистов или даже везения, но столкнулись с этим недавно – в марте. Возможно, просто не повезло.
                                                                                                                        • 0
                                                                                                                          В декабре забыл пинкод за несколько дней до отъезда за границу. Перевыпускал в отделении около дома, сказали ждать стандартные две недели, но на пятый рабочий день пришел — карта уже лежала в офисе, может и не первый день
                                                                                                                          • 0
                                                                                                                            У меня тоже был опыт перевыпуска карты из другого региона. Девушка честно пугала месяцем, но всё готово было уже через две недели. Видимо, как повезёт.
                                                                                                                            • 0
                                                                                                                              Ну я тоже в Питере, а карта из Мурманской области. В отделении был переполох, но с помощью заведующей всё быстро разрешилось.
                                                                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                        • +1
                                                                                                          информации и аргументов не хватает (одно свидетельство + здравый смысл)

                                                                                                          сможете подтвердить (или опровергнуть), что база на сайте сос-ржд это как раз карты, по которым были операции через втб-шный шлюз при покупке РЖД (по «анонимным» картам вашего «анонимного» российско-европейского банка)?

                                                                                                          было бы оч. полезно всем невезучим 70-200к пользователям втб-РЖД.

                                                                                                          лично мне (тоже попавшим в эти 70-200к), история с втб-ржд показалась оч. достоверной и свою скомпроментированную втб-ржд карту я уже заблокировал и заказал перевыпуск.
                                                                                                          • 0
                                                                                                            К сожалению, вам остается поверить мне на слово. Я, опять же, к сожалению, не могу комментировать ситуацию даже внутри банка, не говоря уже о хабре.
                                                                                                            • +5
                                                                                                              Могу подтвердить как минимум один случай. Покупка билетов на сайте ржд 14 числа. Все данные по карте корректны.
                                                                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                            • +4
                                                                                                              У Альфа-банка отключена на текущий момент оплата с их карт через интернет, в колл-центре сказали как раз про проверку из-за утечки РЖД-ВТБ24.
                                                                                                              • +1
                                                                                                                Подтверждаю. Критерии для блокировки карт у них уже есть. Себе заказал перевыпуск досрочно, остальных, скорее всего, заблокируют на днях принудительно.
                                                                                                                • 0
                                                                                                                  За досрочно 240 рублей перевыпуск, девушка с поддержки Альфы сказала недели 2 назад.
                                                                                                                  • 0
                                                                                                                    Сейчас перевыпускают бесплатно.
                                                                                                              • +20
                                                                                                                «Никаких атак на платежный шлюз, через который проходит покупка билетов на сайте www.rzd.ru, не было. Шлюз защищен последней версией стандарта безопасности данных платежных карт.

                                                                                                                Убило. Это для бабушек что ли объяснение? Напомните, что там за «последняя версия стандарта безопасности данных», тоже себе хочу поставить.

                                                                                                                За эту неделю хартблидовскую я думаю столько утекло карточек (не только через РЖД), что через некоторое время, когда они разойдутся по рукам кардеров и начнётся массовая обналичка и оплата этими картами в интернет-магазинах, глупо уже будет отрицать очевидное и петь песни про «последнюю версию стандарта безопасности». Насыщенные нас ожидают ближайшие полгода. Запасаемся поп-корном.
                                                                                                                • –8
                                                                                                                  Всё-таки обналичить деньги с этих карт будет крайне проблематично, скорее вообще невозможно.
                                                                                                                  • +4
                                                                                                                    По какой причине проблематично?
                                                                                                                    • +2
                                                                                                                      Чтобы обналичить, обычно нужна сама карта. А вот заплатить за что-нибудь — вполне.
                                                                                                                      • 0
                                                                                                                        Подождите, зачем нужна сама карта, чтобы украсть с неё деньги по её реквизитам? А потом обналичить.
                                                                                                                      • –2
                                                                                                                        Потому что очевидно, что распечатанную бумажку с данными карты в банкомат не вставить, а операции, связанные с прямым переводом денег через интернет (например, я.деньги или киви) почти у всех банков идут с подключением 3д секьюра.
                                                                                                                        • +6
                                                                                                                          Ключевое слово «почти».

                                                                                                                          3D Secure — это не способ обезопасить клиента от мошенников, это способ обезопасить банк от претензий клиентов.
                                                                                                                          Если система оплаты просто-напросто не поддерживает 3D Secure, то операции пройдут без подтверждений.

                                                                                                                          И даже более того, есть MCC-коды оплаты, по которым даже CVV/CVC не требуется, только номер карты (например, платежи за гостиницы).

                                                                                                                          И даже, в случае Сбербанка, даже без смс-оповещений. Например, uslugi.tatar.ru списывают платежи за ЖКХ по реквизитам сберовской карты без подтверждений. А факт оплаты можно будет увидеть только в выписке или в интернет-банке (СМС не придёт).
                                                                                                                          • –1
                                                                                                                            Это не обналичивание денег, про которое вы говорили.

                                                                                                                            Весь интернет, как я написал выше, при проведении претензионной работы обычно оспаривается в пользу клиента.
                                                                                                                            • +1
                                                                                                                              Это не обналичивание денег, про которое вы говорили.


                                                                                                                              Если по реквизитам вашей карты злоумышленники забирают деньги с вашего счёта, а затем получают их в виде наличных, то что это, как не обналичивание?

                                                                                                                              Весь интернет, как я написал выше, при проведении претензионной работе обычно оспаривается в пользу клиента.


                                                                                                                              На время претензионной работы (а это очень долго в РФ) клиент остаётся без средств (если дебетовая карта) или ему начисляются проценты (если кредитная карта).

                                                                                                                              Поэтому, если данные вашей карты скомпрометированы, не стоит уповать и надеяться на претензионную работу, а стоит немедленно перевыпустить карту уже с другими реквизитами. Я вас пытаюсь убедить именно в этом.
                                                                                                                              • 0
                                                                                                                                Я не пытаюсь спорить с последним вашим утверждением, однако я не представляю как даже после условной оплаты отеля или жкх (хотя кто будет это делать, если потом на мошенника можно будет выйти на раз-два) можно эти деньги будет обналичить.
                                                                                                                                • 0
                                                                                                                                  Я всего лишь привёл пример, где 3D-Secure не поддерживается, а оплата проходит.

                                                                                                                                  Необязательно это будут гостиницы или ЖКХ.
                                                                                                                                  • +1
                                                                                                                                    А что тут представлять? На этих примерах (отель и жкх), можно применить схему обналичивания «слепой дроп». Человек, через которого пойдет обналичивание (дроп), ничего не будет знать о том что это «серая» схема (он будет слеп). Что-то типа сайта «Номера в отелях РФ за полцены».
                                                                                                                                    • 0
                                                                                                                                      И такая услуга активно предлагается для отелей и авиабилетов
                                                                                                                              • 0
                                                                                                                                А факт оплаты можно будет увидеть только в выписке или в интернет-банке (СМС не придёт)

                                                                                                                                А как они стыкуют это с законом о национальной платежной системе? (в части уведомления об операциях с применением электронного средства платежа)
                                                                                                                                • +1
                                                                                                                                  А как они стыкуют это с законом о национальной платежной системе? (в части уведомления об операциях с применением электронного средства платежа)


                                                                                                                                  Мне кажется, что никак.
                                                                                                                        • +4
                                                                                                                          Напомните, что там за «последняя версия стандарта безопасности данных»

                                                                                                                          Наверное они про OpenSSL 1.0.1
                                                                                                                          • +2
                                                                                                                            Скорее всего тут имелся ввиду PCI DSS 3.0.
                                                                                                                            • +4
                                                                                                                              это был сарказм.
                                                                                                                              • 0
                                                                                                                                … в котором нет запрета на использование уязвимого к heartbleed ПО…
                                                                                                                            • +4
                                                                                                                              Ага. Для бабушек, которые не в курсе, что атака не оставляет следов.
                                                                                                                              • –7
                                                                                                                                Эм, ну ведь в логах веб-сервера должны оставаться запросы, которые можно идентифицировать как эксплуатацию HeartBleed?
                                                                                                                                • +8
                                                                                                                                  В том-то и дело. Heartbleed вообще никак не пишется в логах. Абсолютно никак. По аномальной активности аккаунтов можно только выявить, что что-то было.
                                                                                                                                  • 0
                                                                                                                                    Я вот, может, совсем дурак, но объясните мне тогда.
                                                                                                                                    Heartbleed позволяет получить дамп памяти сервера специальным запросом. Как так этот запрос не остаётся в логах и неотличим от нормальных запросов?
                                                                                                                                    • +12
                                                                                                                                      Этот запрос — обычный кипалайв. Ничем не примечательный, постоянно гоняемый между сервером и клиентом. Просто если клиент определенным образом сформирует этот кипалайв, то сервер нечаянно выдаст ему кусок памяти вместе с откликом. Следов нет — никто не будет логировать кипалайвы, обычно они безобидны.