Еще одна печальная новость из мира Heartbleed, о которой стало известно вчера.
 

Данные карточек, которые использовались для покупки билетов на сайте РЖД были скомпрометированы по той простой причине, что уязвимость Heartbleed была закрыта на нем только спустя неделю (15.04.2013). Все это время неизвестные злоумышленники могли безнаказанно воровать данные с сайта, пользуясь нашумевшей уязвимостью.

Для привлечения внимания к проблеме и чтобы мотивировать пользователей перевыпустить свои карты неизвестными хакерами был создан сайт sos-rzd.com, на котором выложен дамп платежных данных за 14 апреля. Общее количество записей 10532, что позволяет говорить о примерно 70 тысячах карточках скомпрометированных за неделю с момента уязвимости. Сами авторы называют почему то цифру 200 тысяч.

В этой ситуации выглядит странной реакция РЖД и самого банка ВТБ24. Они полностью отрицают уязвимость и обвиняют сайт в фишинговой деятельности

Вот комментарий от пресс-службы ВТБ24 с сайта РБК

«Никаких атак на платежный шлюз, через который проходит покупка билетов на сайтеwww.rzd.ru, не было. Шлюз защищен последней версией стандарта безопасности данных платежных карт. Всем клиентам, совершающим транзакции через него, гарантируется абсолютная безопасность платежей», — заявил РБК представитель пресс-службы кредитной организации. Источник РБК в банке уверен: сайт создан для того, чтобы его посетители оставляли там данные своих карт.

Однако это заявление не соответствует действительности. Уязвимость на сайт РЖД была, об этом писал автор в топике Чем грозит Heartbleed простому пользователю?, он подтверждает что уязвимость им была обнаружена именно на шлюзе ВТБ24 и именно на сайте РЖД.

Еще один комментарий от пресс-службы

Если внимательно посмотреть на сайт, он уже сам по себе вызывает много вопросов: вместо фамилий используются цифры, сокращения, встречаются русские или неполные имена, чего не может быть в случае банковских карт. Очень похоже, что это просто фейк.

Тоже очень странное заявление. Уязвимость позволяет получить данные из памяти сервера, соответственно, если пользователь ввел неполные или некорректные данные, то они будут такими же и в дампе. Однако подлинность большинства данных подтверждают сами пользователи. Например, Алексей Копылов, один из директоров компании Flexis, подтверждает, что его данные есть в этом списке и приводит фотографию карточки + скриншот электронного билета.
 

Также подлинность данных косвенно подтверждает Виктор Лысенко, СЕО Рокетбанка,пообещав перевыпустить все карточки из списка.

Не сходится также и с фишинговой деятельностью. Сайт предлагает проверить только 10 из 16 цифр номера карты. А также для особо недоверчивых дает возможность скачать базу в виде файла и проверить локально.

Более того, складывается впечатление что против сайта запущена кампания в СМИ. Такие крупные сайты как РБК, SecurityLab, JustMedia и другие, не разобравшись в вопросе, занимают позицию ВТБ24 и называют сайт фишинговым. 

Печально, что крупные российские компании вместо того, чтобы признать проблему и совместно принять меры для ее решения, делают вид, что ничего не произошло, параллельно, пытаясь заткнуть рот неравнодушным ИТ-специалистам.