Компрометация банковских карт
 

7 апреля 2014 года появилась информация о критической уязвимости OpenSSL - средств криптографии, используемых при организации "защищенных соединений". Данная уязвимость, названная "Heartbleed", позволяет считывать до 64Кб оперативной памяти приложения. Читая оперативную память веб-сервера, атакующий может получить доступ к конфиденциальной информации как сервера, так и пользователей, позволяя, в частности, перехватить ключи, пароли и проч.

На момент объявления об уязвимости около 17 % защищённых веб-серверов предполагались уязвимыми.

К числу таких сайтов относился и сайт www.rzd.ru, уязвимость на котором была закрыта на нем только спустя неделю (15.04.2013). В течении данного времени все, кто пользовался этим сайтом для покупки железнодорожных билетов, потенциально могли стать жертвами утечки конфиденциальных данных.

Для привлечения внимания к проблеме создан сайт www.sos-rzd.com, на котором выложен дамп платежных данных за 14 апреля. Общее количество записей 10532, что позволяет говорить о примерно 70 тысячах скомпрометированных карточках.

Всем, кто пользовался услугой покупки билетов через интернет в указанное время, настоятельно рекомендуется перевыпустить свои банковские карты.

А Вы уверены что это не очередная уловка для выуживания данных?

Уязвимость OpenSSL - это факт.
Чем грозит Heartbleed простому пользователю?
Также рекомендую почитать это.
А на указанном сайте полные данные карты вводить не нужно - только первые 6 цифр. Хотя, конечно, эту часть данных карты теоретически Вы раскрываете.
В целях максимальной безопасности я бы рекомендовал в любом случае перевыпустить все банковские карты, которые использовались в указанное время для оплаты чего-либо через интернет - и через интернет-банкинг тоже.

там же не надо вводить что-то кроме номера карты. а по одному лишь номеру ничего не купишь

Admin добавил 17.04.2014 в 13:47
ничем. расслабьтесь.

разве что жена узнает ваш пароль от вконтакта и прочитает переписку с телками

Admin добавил 17.04.2014 в 14:47
ОАО «РЖД» и банк ВТБ24 опровергли сообщения об утечке информации с карт клиентов, пишет РБК. Сообщения об утечке информации по банковским картам при покупке билетов РЖД с 7 по 14 апреля появились накануне на сайте www.sos-rzd.com.
На сайте сообщалось, что утечка информации произошла «в тандеме с банком ВТБ24» и неизвестные злоумышленники теперь располагают данными карт, которыми граждане оплачивали билеты на сайте РЖД в течение недели. Всего, как утверждалось на сайте sos-rzd.com, было «скомпрометировано» более 200 тыс. карт. Кроме того, ресурс предлагал проверить свою карту, введя ее данные на сайте.
В РЖД, который является расчетным банком при оплате билетов, заявили, что это фейковый ресурс. Пресс-служба ВТБ24 также опровергла факт утечки информации.
«Никаких атак на платежный шлюз, через который проходит покупка билетов на сайте www.rzd.ru, не было. Шлюз защищен последней версией стандарта безопасности данных платежных карт. Всем клиентам, совершающим транзакции через него, гарантируется абсолютная безопасность платежей», - заявил РБК представитель пресс-службы кредитной организации.
«Мы крайне не рекомендуем вводить номера своих карт на сайте sos-rzd.com», - заявил представитель пресс-службы «РЖД», уточнив, что на сайте РЖД не хранятся данные пользователей.

Безусловно, и вполне естественно, что и РЖД, и ВТБ всячески открещиваются от любого негатива, связанного с их деятельностью.
Однако повторю: уязвимость существовала неделю - это факт.
"Шлюз защищен последней версией стандарта безопасности данных платежных карт" - это СЕЙЧАС. А целую неделю - увы, нет.
"Никаких атак на платежный шлюз...не было" - а уязвимость была . И, возможно, утечки данных тоже были (без каких-либо атак).
Все эти комментарии официальных лиц - попытки сделать хорошее лицо при плохой игре.

Я лично свою карту ВТБ иду перевыпускать. Как программист по образованию, я технически понимаю сложившуюся ситуацию и вижу реальную угрозу.

а зачем вообще иметь карту ВТБ? ни процентов на остаток, ни снять в чужом банкомате без комиссии?

Зарплатный проект компании. А вообще-то есть у этого банка свои плюсы и минусы. Как впрочем и у любого другого.

зарплату можно получать на любую карту

С точки зрения соблюдения законных прав сотрудника - безусловно. Но, зарплатные проекты, как правило, предполагают определенные взаимовыгодные отношения между компанией и банком. Например, это облегчает решение кредитных вопросов.
Да и бухгалтерии проще.