Суббота, 25.09.2021, 03:31
Мой персональный сайт Добрым людям smart & sober

Главная Регистрация Вход
Приветствую Вас, Гость · RSS
Калькулятор


Меню сайта
Календарь
«  Апрель 2014  »
ПнВтСрЧтПтСбВс
 123456
78910111213
14151617181920
21222324252627
282930


Форма входа


Архив записей
Мини-чат


Категории раздела


Наш опрос
В чем заключается ваш смысл жизни
Всего ответов: 154
 
Главная » 2014 » Апрель » 17 » Данные около 70 000 карт были скомпрометированы на платежном шлюзе РЖД Информационная безопасность*
10:13
Данные около 70 000 карт были скомпрометированы на платежном шлюзе РЖД Информационная безопасность*
Еще одна печальная новость из мира Heartbleed, о которой стало известно вчера.
 
image


Данные карточек, которые использовались для покупки билетов на сайте РЖД были скомпрометированы по той простой причине, что уязвимость Heartbleed была закрыта на нем только спустя неделю (15.04.2013). Все это время неизвестные злоумышленники могли безнаказанно воровать данные с сайта, пользуясь нашумевшей уязвимостью.

Для привлечения внимания к проблеме и чтобы мотивировать пользователей перевыпустить свои карты неизвестными хакерами был создан сайт sos-rzd.com, на котором выложен дамп платежных данных за 14 апреля. Общее количество записей 10532, что позволяет говорить о примерно 70 тысячах карточках скомпрометированных за неделю с момента уязвимости. Сами авторы называют почему то цифру 200 тысяч.

В этой ситуации выглядит странной реакция РЖД и самого банка ВТБ24. Они полностью отрицают уязвимость и обвиняют сайт в фишинговой деятельности

Вот комментарий от пресс-службы ВТБ24 с сайта РБК
«Никаких атак на платежный шлюз, через который проходит покупка билетов на сайтеwww.rzd.ru, не было. Шлюз защищен последней версией стандарта безопасности данных платежных карт. Всем клиентам, совершающим транзакции через него, гарантируется абсолютная безопасность платежей», — заявил РБК представитель пресс-службы кредитной организации. Источник РБК в банке уверен: сайт создан для того, чтобы его посетители оставляли там данные своих карт.

Однако это заявление не соответствует действительности. Уязвимость на сайт РЖД была, об этом писал автор в топике Чем грозит Heartbleed простому пользователю?, он подтверждает что уязвимость им была обнаружена именно на шлюзе ВТБ24 и именно на сайте РЖД.

Еще один комментарий от пресс-службы
Если внимательно посмотреть на сайт, он уже сам по себе вызывает много вопросов: вместо фамилий используются цифры, сокращения, встречаются русские или неполные имена, чего не может быть в случае банковских карт. Очень похоже, что это просто фейк.

Тоже очень странное заявление. Уязвимость позволяет получить данные из памяти сервера, соответственно, если пользователь ввел неполные или некорректные данные, то они будут такими же и в дампе. Однако подлинность большинства данных подтверждают сами пользователи. Например, Алексей Копылов, один из директоров компании Flexis, подтверждает, что его данные есть в этом списке и приводит фотографию карточки + скриншот электронного билета.
 
image


Также подлинность данных косвенно подтверждает Виктор Лысенко, СЕО Рокетбанка,пообещав перевыпустить все карточки из списка.

Не сходится также и с фишинговой деятельностью. Сайт предлагает проверить только 10 из 16 цифр номера карты. А также для особо недоверчивых дает возможность скачать базу в виде файла и проверить локально.

Более того, складывается впечатление что против сайта запущена кампания в СМИ. Такие крупные сайты как РБК, SecurityLab, JustMedia и другие, не разобравшись в вопросе, занимают позицию ВТБ24 и называют сайт фишинговым. 

Печально, что крупные российские компании вместо того, чтобы признать проблему и совместно принять меры для ее решения, делают вид, что ничего не произошло, параллельно, пытаясь заткнуть рот неравнодушным ИТ-специалистам.
 
31123
 
26
fetis26 161,0
 
 

комментарии (127)

+31
tyderh,#
 
Всем клиентам, совершающим транзакции через него, гарантируется абсолютная безопасность платежей
гарантируется абсолютная безопасность платежей
абсолютная безопасность платежей
абсолютная безопасность платежей

Ничего, еще пяточек лет цензуры в интернетах — и безопасность действительно станет абсолютной.
 
 
+2
sam002,#
 
Вот, специально отмониторил крупные западные СМИ: через два дня после выявления уязвимости на главной washingtonpost было пять упоминаний (Ctrl+F «heartbleed») из них две на первом же экране (одна из них первой в шапке), аналогично на cnn (4+шапка) и NY times(5). Всё ещё на главных есть упоминания, но уже о поимке канадских взломщиков (не вникал). Контрастирует с нашими государств олигархичес нецензурируемыми СМИ.
А самое вкусное — устранением последствий уязвимости занимается Министерство Внутренней Безопасности (пруф), т.е. государственные органы взяли на себя ответственность по мониторингу, закрытию дыр и координации! 

А наши банки вполне очевидно боятся признать какие-либо утечки, т.к. им это грозит серьёзными санкциями, особенно после всего того шухера, который наводили совсем недавно.
PS: Не сочувствую банкам (паразиты же), но их отделы безопасности в полной цугцванг.
 
 
0
numberfive,#
 
банки обязаны на периодической основе отчитываться в ЦБ и ФСБ (по части криптографии) об инцидентах. какими санкциями им что-то грозит? 
 
 
 
 
+88
forgot10,#
 
image
 
 
0
khanid,#
 
Вместо тысячи слов…
 
 
 
 
+1
achekalin,#
 
Припишут вам изображение детей в контексте «только для взрослых», и понесется…

Сами же знаете, есть блюстители, которым образы девочек никак не по сердцу.

Возьмите фото проводницы 60-го уровня, к ней, как известно, не прикопаешься )

ну или — img.nr2.ru/pict/arts1/r13/dop1/13/10/332.jpg
 
 
 
0
houk,#
 
К слову, о безответственности,
По словам Михаила Задорнова, новую систему можно построить примерно за полгода (национальная система платежных карт).
На коленке соберут систему — потом Мы опять будем страдать — полная безответственность!
Просмотров: 395 | Добавил: Bliss | Рейтинг: 5.0/2
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Copyright MyCorp © 2021