7 апреля 2014 года появилась информация о критической уязвимости OpenSSL - средств криптографии, используемых при организации "защищенных соединений". Данная уязвимость, названная "Heartbleed", позволяет считывать до 64Кб оперативной памяти приложения. Читая оперативную память веб-сервера, атакующий может получить доступ к конфиденциальной информации как сервера, так и пользователей, позволяя, в частности, перехватить ключи, пароли и проч.
На момент объявления об уязвимости около 17 % защищённых веб-серверов предполагались уязвимыми.
К числу таких сайтов относился и сайт
www.rzd.ru, уязвимость на котором была закрыта на нем только спустя неделю (15.04.2013). В течении данного времени все, кто пользовался этим сайтом для покупки железнодорожных билетов, потенциально могли стать жертвами утечки конфиденциальных данных.
Для привлечения внимания к проблеме создан сайт
www.sos-rzd.com, на котором выложен дамп платежных данных за 14 апреля. Общее количество записей 10532, что позволяет говорить о примерно 70 тысячах скомпрометированных карточках.
Всем, кто пользовался услугой покупки билетов через интернет в указанное время, настоятельно рекомендуется перевыпустить свои банковские карты.
