Произошла утечка данных клиентов РЖД из-за уязвимости Heartbleed

Александр Панасенко 16 Апреля 2014 - 11:55

...

Неизвестные хакеры на специальном сайте сообщают, что в течение недели c сайта «РЖД» из-за уязвимости Heartbleed злоумышленники имели возможность сливать данные банковских карт всех, кто оплачивал билеты на портале.

На сайте говорится, что «РЖД» и «ВТБ24» позволили скомпрометировать более 200 тысяч карт. В качестве подтверждения этой информации в открытый доступ выложены данные по картам, через которые оплачивались билеты 14 апреля. В этот день в открытый доступ попала информация примерно о 10 тысячах карт и это «лишь малая часть того, что могли получить злоумышленники».

Уязвимость на сайте «РЖД» была устранена только вечером 14 апреля, спустя неделю после обнаружения уязвимости Heartbleed, сообщает siliconrus.com.

Создатели сайта рекомендуют людям, чьи данные были скомпрометированы, перевыпустить карты.

Тот, кто хоть чуть-чуть переживает за свои или пользовательские данные, менял пароли и исправлял уязвимые системы, так быстро, как только мог. Многие компании делали это в первые часы, а то и минуты, после публичного репорта о баге. Но что делает «РЖД» и «ВТБ24»? Они целую неделю позволяют злоумышленникам сливать данные всех банковских карт, которыми люди расплачивались за билет на их сайте.

Неизвестные обратились к «РЖД» и «ВТБ24» с требованием назвать точное количество карт, прошедших за неделю через «злосчастный процессинг» и выложить публичный список карт и их масок, чтобы пользователи и банки могли их заблокировать.

Мы не хотим, чтобы из-за халатности таких крупных организаций, страдал простой люд. Всем мир!

Редакция ЦП связалась с создателями сайта и задала им несколько вопросов.

Как вы сумели получить доступ к информации о картах?

Доступ к информации был получен через уязвимость в OpenSSL (Heartbleed).

Зачем вы это сделали?

В учебных целях. Как показывает практика, на такие вещи обычно закрывают глаза, в данной истории так не получится. Думаю вы понимаете, какие масштабы проблемы?

Была ли какая-то конкретная цель?

Обезопасить простой народ от кражи денег с их карт. Люди не должны страдать от раздолбайства крупных компаний. Работа с персональной информацией — это не игрушки. Основная цель — заблокировать все карты, которые прошли через этот процессинг за 7 дней.

Почему вы прямо не связались с РЖД, а решили запустить целый сайт?

РЖД и их мерчант (ВТБ24) неоднократно получали от нас сообщения о том, что им срочно нужно обновить OpenSSL. И не только от нас. Но реакции, как и ответов, не поступало. Сайт был сделан для того, чтобы пользователи и банки могли заблокировать скомпрометированные карты.

И еще хотелось бы, чтобы люди понимали, что кардинг может быть и хорошим тоже. Ведь все эти данные можно было продать, или хуже — использовать. Мы против работы по всему постсоветскому пространству.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 16 Сентября 2025 - 12:51

Общее Газинформсервис

Бизнес-день GIS DAYS 2025: ключевые игроки ИБ-рынка обсудят защиту ИИ

3 октября в Москве в кинотеатре «Октябрь» состоится бизнес-день форума GIS DAYS 2025*. Мероприятие, организованное компанией «Газинформсервис», соберёт на одной площадке ведущих экспертов, представителей государственных органов и топ-менеджмент крупнейших ИТ- и ИБ-компаний для обсуждения самых актуальных вызовов цифровой эпохи.

Деловая программа дня будет сосредоточена на практических решениях для защиты бизнеса. Ключевым событием станет пленарное заседание «Как защитить искусственный интеллект».

В рамках бизнес-трека «Классика и авангард» лидеры индустрии представят кейсы интеграции машинного обучения в традиционные системы защиты. Отдельный блок будет посвящён технологиям BAS (Breach and Attack Simulation) для имитации сложных кибератак.

«Сегодня невозможно говорить о безопасности изолированно, только в контексте технологий. На GIS DAYS мы создаём среду, где стратегическое видение регуляторов встречается с практическим опытом вендоров и запросами бизнеса. Фокус на ИИ в этом году — не просто тренд, а насущная необходимость, и мы готовы предложить рынку конкретные решения», — отметил Валерий Пустарнаков, учредитель компании «Газинформсервис».

Во второй половине дня эксперты представят формат «Броня за 7 шагов» — семь последовательных шагов, от управления активами до валидации защищённости. Участники увидят, как выстроить сквозной процесс противодействия угрозам.

Завершит деловую программу масштабная дискуссия «ИБ-Пророки: 2-ой сезон», где обсудят развитие угроз и технологий защиты на ближайшие годы.

В отдельном зале пройдёт технический трек для специалистов, посвящённый безопасности цифрового будущего, круглые столы по итогам полугодия для рынка NGFW и сессия «Киберустойчивость» с докладами молодых специалистов.

Подробнее: https://gisdays.ru/?utm_source=anti-malware&utm_medium=article&erid=2Vfn...

*Global Information Security Days — дни глобальной информационной безопасности.