Произошла утечка данных клиентов РЖД из-за уязвимости Heartbleed

Александр Панасенко 16 Апреля 2014 - 11:55

...

Неизвестные хакеры на специальном сайте сообщают, что в течение недели c сайта «РЖД» из-за уязвимости Heartbleed злоумышленники имели возможность сливать данные банковских карт всех, кто оплачивал билеты на портале.

На сайте говорится, что «РЖД» и «ВТБ24» позволили скомпрометировать более 200 тысяч карт. В качестве подтверждения этой информации в открытый доступ выложены данные по картам, через которые оплачивались билеты 14 апреля. В этот день в открытый доступ попала информация примерно о 10 тысячах карт и это «лишь малая часть того, что могли получить злоумышленники».

Уязвимость на сайте «РЖД» была устранена только вечером 14 апреля, спустя неделю после обнаружения уязвимости Heartbleed, сообщает siliconrus.com.

Создатели сайта рекомендуют людям, чьи данные были скомпрометированы, перевыпустить карты.

Тот, кто хоть чуть-чуть переживает за свои или пользовательские данные, менял пароли и исправлял уязвимые системы, так быстро, как только мог. Многие компании делали это в первые часы, а то и минуты, после публичного репорта о баге. Но что делает «РЖД» и «ВТБ24»? Они целую неделю позволяют злоумышленникам сливать данные всех банковских карт, которыми люди расплачивались за билет на их сайте.

Неизвестные обратились к «РЖД» и «ВТБ24» с требованием назвать точное количество карт, прошедших за неделю через «злосчастный процессинг» и выложить публичный список карт и их масок, чтобы пользователи и банки могли их заблокировать.

Мы не хотим, чтобы из-за халатности таких крупных организаций, страдал простой люд. Всем мир!

Редакция ЦП связалась с создателями сайта и задала им несколько вопросов.

Как вы сумели получить доступ к информации о картах?

Доступ к информации был получен через уязвимость в OpenSSL (Heartbleed).

Зачем вы это сделали?

В учебных целях. Как показывает практика, на такие вещи обычно закрывают глаза, в данной истории так не получится. Думаю вы понимаете, какие масштабы проблемы?

Была ли какая-то конкретная цель?

Обезопасить простой народ от кражи денег с их карт. Люди не должны страдать от раздолбайства крупных компаний. Работа с персональной информацией — это не игрушки. Основная цель — заблокировать все карты, которые прошли через этот процессинг за 7 дней.

Почему вы прямо не связались с РЖД, а решили запустить целый сайт?

РЖД и их мерчант (ВТБ24) неоднократно получали от нас сообщения о том, что им срочно нужно обновить OpenSSL. И не только от нас. Но реакции, как и ответов, не поступало. Сайт был сделан для того, чтобы пользователи и банки могли заблокировать скомпрометированные карты.

И еще хотелось бы, чтобы люди понимали, что кардинг может быть и хорошим тоже. Ведь все эти данные можно было продать, или хуже — использовать. Мы против работы по всему постсоветскому пространству.

Следующая главная новость »

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 23 Апреля 2026 - 19:09

Корпорации Услуги по информационной безопасности Услуги по аутсорсингу информационной безопасности

Avareange запустила MSSP-панель, добавила фишинг-симуляции в Telegram, Макс

Платформа кибергигиены Avareange запустила MSSP-панель для интеграторов — отдельный интерфейс для партнёров, которые ведут внедрение и сопровождают сервис у конечных заказчиков. По сути, это единое окно, в котором можно следить за портфелем клиентов без ручного сбора статусов и постоянных переключений между разными экранами.

Сама платформа используется для следующих задач: проводить фишинг-симуляции, назначать сотрудникам обучение и проверять, как у них обстоят дела с базовой кибергигиеной.

Новый интерфейс для партнёров должен упростить работу тем, кто ведёт сразу несколько клиентов и хочет видеть в одном месте, как идут внедрения, обучение и симуляции.

По словам компании, сейчас среди пользователей Avareange есть как интеграторы, так и крупные заказчики, включая игроков с российского рынка кибербезопасности. Вендор рассчитывает, что запуск MSSP-инструмента поможет нарастить партнёрский портфель в 2026 году.

Кроме того, в первом квартале 2026 года на платформе появились фишинг-симуляции в мессенджерах Telegram и Макс. Для них доступны базовые шаблоны атак, а также возможность собирать собственные сценарии под конкретные задачи компании. Логика здесь вполне понятная: если сотрудники давно живут не только в почте, но и в мессенджерах, то и учебные атаки постепенно переезжают туда же.

Заодно Avareange добавила ещё несколько функций. Среди них — мониторинг компрометации почтовых адресов и паролей, который позволяет анализировать утечки по корпоративным данным, конструктор событий для автоматических цепочек действий и календарь ИБ-событий, где можно в одном месте учитывать активность службы безопасности и связанную с ней нагрузку.

Во втором квартале 2026 года компания собирается продолжить развитие платформы. В планах — центр аналитики с новыми отчётами для руководителей и других подразделений, чтобы результаты работы ИБ можно было показывать более наглядно. Также готовится ИИ-ассистент, который должен помогать со сборкой сценариев и запуском фишинг-симуляций с учётом контекста конкретной компании.

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!