Тема: Компрометация банковских карт

ДобрыйЭх · 17.04.2014, 11:49

7 апреля 2014 года появилась информация о критической уязвимости OpenSSL - средств криптографии, используемых при организации "защищенных соединений". Данная уязвимость, названная "Heartbleed", позволяет считывать до 64Кб оперативной памяти приложения. Читая оперативную память веб-сервера, атакующий может получить доступ к конфиденциальной информации как сервера, так и пользователей, позволяя, в частности, перехватить ключи, пароли и проч.

На момент объявления об уязвимости около 17 % защищённых веб-серверов предполагались уязвимыми.

К числу таких сайтов относился и сайт www.rzd.ru, уязвимость на котором была закрыта на нем только спустя неделю (15.04.2013). В течении данного времени все, кто пользовался этим сайтом для покупки железнодорожных билетов, потенциально могли стать жертвами утечки конфиденциальных данных.

Для привлечения внимания к проблеме создан сайт www.sos-rzd.com, на котором выложен дамп платежных данных за 14 апреля. Общее количество записей 10532, что позволяет говорить о примерно 70 тысячах скомпрометированных карточках.

Всем, кто пользовался услугой покупки билетов через интернет в указанное время, настоятельно рекомендуется перевыпустить свои банковские карты.

**Reilion** · 17.04.2014, 12:08

Цитата:

www.sos-rzd.com,

А Вы уверены что это не очередная уловка для выуживания данных?

ДобрыйЭх · 17.04.2014, 12:39

Уязвимость OpenSSL - это факт.
Чем грозит Heartbleed простому пользователю?
Также рекомендую почитать это.
А на указанном сайте полные данные карты вводить не нужно - только первые 6 цифр. Хотя, конечно, эту часть данных карты теоретически Вы раскрываете.
В целях максимальной безопасности я бы рекомендовал в любом случае перевыпустить все банковские карты, которые использовались в указанное время для оплаты чего-либо через интернет - и через интернет-банкинг тоже.

**Admin** · 17.04.2014, 13:47

Цитата:

А Вы уверены что это не очередная уловка для выуживания данных?

там же не надо вводить что-то кроме номера карты. а по одному лишь номеру ничего не купишь

Admin добавил 17.04.2014 в 13:47

Цитата:

Чем грозит Heartbleed простому пользователю?

ничем. расслабьтесь.

разве что жена узнает ваш пароль от вконтакта и прочитает переписку с телками

Admin добавил 17.04.2014 в 14:47
ОАО «РЖД» и банк ВТБ24 опровергли сообщения об утечке информации с карт клиентов, пишет РБК. Сообщения об утечке информации по банковским картам при покупке билетов РЖД с 7 по 14 апреля появились накануне на сайте www.sos-rzd.com.
На сайте сообщалось, что утечка информации произошла «в тандеме с банком ВТБ24» и неизвестные злоумышленники теперь располагают данными карт, которыми граждане оплачивали билеты на сайте РЖД в течение недели. Всего, как утверждалось на сайте sos-rzd.com, было «скомпрометировано» более 200 тыс. карт. Кроме того, ресурс предлагал проверить свою карту, введя ее данные на сайте.
В РЖД, который является расчетным банком при оплате билетов, заявили, что это фейковый ресурс. Пресс-служба ВТБ24 также опровергла факт утечки информации.
«Никаких атак на платежный шлюз, через который проходит покупка билетов на сайте www.rzd.ru, не было. Шлюз защищен последней версией стандарта безопасности данных платежных карт. Всем клиентам, совершающим транзакции через него, гарантируется абсолютная безопасность платежей», - заявил РБК представитель пресс-службы кредитной организации.
«Мы крайне не рекомендуем вводить номера своих карт на сайте sos-rzd.com», - заявил представитель пресс-службы «РЖД», уточнив, что на сайте РЖД не хранятся данные пользователей.

ДобрыйЭх · 17.04.2014, 14:05

Безусловно, и вполне естественно, что и РЖД, и ВТБ всячески открещиваются от любого негатива, связанного с их деятельностью.
Однако повторю: уязвимость существовала неделю - это факт.
"Шлюз защищен последней версией стандарта безопасности данных платежных карт" - это СЕЙЧАС. А целую неделю - увы, нет.
"Никаких атак на платежный шлюз...не было" - а уязвимость была . И, возможно, утечки данных тоже были (без каких-либо атак).
Все эти комментарии официальных лиц - попытки сделать хорошее лицо при плохой игре.

Я лично свою карту ВТБ иду перевыпускать. Как программист по образованию, я технически понимаю сложившуюся ситуацию и вижу реальную угрозу.

**Admin** · 17.04.2014, 14:56

Цитата:

Я лично свою карту ВТБ иду перевыпускать

а зачем вообще иметь карту ВТБ? ни процентов на остаток, ни снять в чужом банкомате без комиссии?

ДобрыйЭх · 17.04.2014, 15:22

Зарплатный проект компании. А вообще-то есть у этого банка свои плюсы и минусы. Как впрочем и у любого другого.

**Admin** · 17.04.2014, 15:54

Цитата:

Зарплатный проект компании

зарплату можно получать на любую карту

ДобрыйЭх · 17.04.2014, 16:10

Цитата:

Сообщение от Admin

зарплату можно получать на любую карту

С точки зрения соблюдения законных прав сотрудника - безусловно. Но, зарплатные проекты, как правило, предполагают определенные взаимовыгодные отношения между компанией и банком. Например, это облегчает решение кредитных вопросов.
Да и бухгалтерии проще.

17.04.2014, 11:49	#1 (ссылка)
ДобрыйЭх Кандидат в V.I.P. Регистрация: 11.08.2011 Сообщений: 65 Поблагодарил: 30 раз(а) Поблагодарили 76 раз(а) Фотоальбомы: 0 Загрузки: 6 Закачек: 0 Репутация: 10	Тема: Компрометация банковских карт 7 апреля 2014 года появилась информация о критической уязвимости OpenSSL - средств криптографии, используемых при организации "защищенных соединений". Данная уязвимость, названная "Heartbleed", позволяет считывать до 64Кб оперативной памяти приложения. Читая оперативную память веб-сервера, атакующий может получить доступ к конфиденциальной информации как сервера, так и пользователей, позволяя, в частности, перехватить ключи, пароли и проч. На момент объявления об уязвимости около 17 % защищённых веб-серверов предполагались уязвимыми. К числу таких сайтов относился и сайт www.rzd.ru, уязвимость на котором была закрыта на нем только спустя неделю (15.04.2013). В течении данного времени все, кто пользовался этим сайтом для покупки железнодорожных билетов, потенциально могли стать жертвами утечки конфиденциальных данных. Для привлечения внимания к проблеме создан сайт www.sos-rzd.com, на котором выложен дамп платежных данных за 14 апреля. Общее количество записей 10532, что позволяет говорить о примерно 70 тысячах скомпрометированных карточках. Всем, кто пользовался услугой покупки билетов через интернет в указанное время, настоятельно рекомендуется перевыпустить свои банковские карты.
	0

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
[Новости РЖД] За 10 месяцев 2013 года с помощью банковских карт оплачено более 500 тыс. проездных документов на поезда дальнего следования, оформленных в кассах Санкт-Петербургского железнодорожного агентства.	rzd.ru	Новости на сети дорог	0	11.11.2013 17:04
Новикомбанк расширяет спектр банковских услуг для "Авиастар-СП"	Анонимный	Гражданская авиация	0	28.08.2013 06:04
Скрытые платежи банковских карт	Андрей13	Личные финансы	44	11.04.2013 13:17
=Распоряжение= № 98р от 21 января 2013 г. - Об утверждении Классификатора платежей, осуществляемых с банковских счетов филиалов и подразделений ОАО "РЖД"	Admin	2013 год	0	28.02.2013 06:47
Мошенники за несколько часов сняли в Киеве почти 1 млн долларов с банковских карт пенсионеров	Admin	Личные финансы	0	26.02.2013 13:58

17.04.2014, 12:39	#3 (ссылка)
ДобрыйЭх Кандидат в V.I.P. Автор темы Регистрация: 11.08.2011 Сообщений: 65 Поблагодарил: 30 раз(а) Поблагодарили 76 раз(а) Фотоальбомы: 0 Загрузки: 6 Закачек: 0 Репутация: 10	Уязвимость OpenSSL - это факт. Чем грозит Heartbleed простому пользователю? Также рекомендую почитать это. А на указанном сайте полные данные карты вводить не нужно - только первые 6 цифр. Хотя, конечно, эту часть данных карты теоретически Вы раскрываете. В целях максимальной безопасности я бы рекомендовал в любом случае перевыпустить все банковские карты, которые использовались в указанное время для оплаты чего-либо через интернет - и через интернет-банкинг тоже.
	0

17.04.2014, 14:05	#5 (ссылка)
ДобрыйЭх Кандидат в V.I.P. Автор темы Регистрация: 11.08.2011 Сообщений: 65 Поблагодарил: 30 раз(а) Поблагодарили 76 раз(а) Фотоальбомы: 0 Загрузки: 6 Закачек: 0 Репутация: 10	Безусловно, и вполне естественно, что и РЖД, и ВТБ всячески открещиваются от любого негатива, связанного с их деятельностью. Однако повторю: уязвимость существовала неделю - это факт. "Шлюз защищен последней версией стандарта безопасности данных платежных карт" - это СЕЙЧАС. А целую неделю - увы, нет. "Никаких атак на платежный шлюз...не было" - а уязвимость была . И, возможно, утечки данных тоже были (без каких-либо атак). Все эти комментарии официальных лиц - попытки сделать хорошее лицо при плохой игре. Я лично свою карту ВТБ иду перевыпускать. Как программист по образованию, я технически понимаю сложившуюся ситуацию и вижу реальную угрозу.
	0

17.04.2014, 15:22	#7 (ссылка)
ДобрыйЭх Кандидат в V.I.P. Автор темы Регистрация: 11.08.2011 Сообщений: 65 Поблагодарил: 30 раз(а) Поблагодарили 76 раз(а) Фотоальбомы: 0 Загрузки: 6 Закачек: 0 Репутация: 10	Зарплатный проект компании. А вообще-то есть у этого банка свои плюсы и минусы. Как впрочем и у любого другого.
	0

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)