Яндекс.Деньги, ТКС, «Рокетбанк» отреагировали на возможную утечку данных банковских карт клиентов РЖД

15 апреля на TJournal, со ссылкой на сайт sos-rzd.com, появилась ^[1] информация о возможной утечке данных платежных карт через уязвимость в платежном шлюзе, который РЖД использует для продажи билетов через интернет.

По оценкам «Коммерсанта» ^[2], РЖД является крупнейшим онлайн-продавцом в России по обороту:

На сайте sos-rzd.com, помимо заявления, выложены части номеров платежных банковских карт с именами и датами экспирации. Всего около десяти тысяч номеров.

По словам хакеров, утечка данных платежных карт стала возможна через эксплуатацию недавно обнаруженной ^[3] в OpenSSL уязвимости HeartBleed и данные могли попасть не только в одни руки.

Создатели sos-rzd утверждают, что платежи для РЖД принимает ВТБ24.
В комментарии для TJournal пресс-секретаря ВТБ24 Артём Бочкарев пояснил, что все операции с билетами РЖД идут через шлюз «Мультикарты» — партнёра ВТБ.

Бочкарев также заметил:

Атака должна была быть совершена не на сайт РЖД, а на шлюз. На сайте РЖД данные карт не хранятся, атак на шлюз не было, а на предмет уязвимости он проверялся.

Единственное однозначное заявление от банка — это заявление об отсутствии атак на платежный шлюз. Однако в этом комментарии представитель банка не дает однозначной оценки данных, представленных на sos-rzd и не отрицает прямо их подлинности:

Если внимательно посмотреть на сайт, он уже сам по себе вызывает много вопросов: вместо фамилий используются цифры, сокращения, встречаются русские или неполные имена, чего не может быть в случае банковских карт. Очень похоже, что это просто фейк.

В комментарии TJ Бочкарёв назвал сайт «детским баловством» и сообщил, что для блокировок карт оснований нет.

В списке карт, выложенном на сайте, нашлось 12 карт с идентификатором банка таким же, как у карт Яндекс.Денег (выпускаемых ТКС).

Как пояснили в Яндекс.Деньгах:

На сайте sos-rzd можно найти BIN карт практически любого популярного российского банка. Хочу отметить, что с BIN 518901 выпускаются не только карты Яндекс.Денег.

Мы не готовы комментировать информацию по конкретным пользовательским данным, так как эти сведения конфиденциальные. Несмотря на то, что данные на сайте вызывают сомнения, еще вчера, как только появилась информация о возможной угрозе, мы попросили ТКС временно заблокировать карты всех пользователей, которые совершали покупки на сайте РЖД в период с 7 по 14 апреля.

Комментарий пресс-службы ТКС:

Очень много вопросов вызывает аутентичность данных, опубликованных на сайте SOS РЖД.

Мы призываем своих клиентов не вводить данные своих карт на этом сайте для проверки, а обратиться непосредственно в ТКС Банк в случае обеспокоенности на предмет компрометации своих персональных данных.

В настоящий момент мы анализируем счета тех клиентов, которые совершали покупки на сайте РЖД в период с 7 по 14 апреля. В случае подозрений на утечку данных в целях их сохранности карты будут блокироваться до выяснения обстоятельств. Хотелось бы подчеркнуть, что все карты ТКС Банка выпускаются с технологией 3D Secure, которая обеспечивает дополнительную защиту при совершении покупок в интернете и позволяет в режиме онлайн провести проверку подлинности при финансовой авторизации.

Все сервисы ТКС Банка изначально не были подвержены уязвимости Heartbleed, поскольку банк не использовал поддержку технологии Heartbeat протокола SSL ни в одной из систем, взаимодействующих с клиентами и клиентскими данными, однако мы призываем наших клиентов быть бдительными при вводе данных своих карт при оплате услуг на сторонних ресурсах.

16 апреля стали появляться свидетельства ^[4] утечки через сайт РЖД, сопровождаемые в виде доказательства данными скомпрометированной карты «Рокетбанка» и данными купленного билета.

Комментарий пресс-службы «Рокетбанка»:

В результате хакерской атаки банковские карты, которыми производилась оплата за билеты, на сайте РЖД в период с 07.04.2014 по 14.04.2014 года, возможно попали в руки мошенников. Предположительно скомпрометировано более 200 000 карт многих банков.
Рокетбанк молниеносно отреагировал на ситуацию. Наши клиенты были немедленно извещены о возможных проблемах, их карты перевыпущены и будут бесплатно доставлены нашим любимым клиентам в самое ближайшее время.

(Добавлено 16 апреля, 19:20):

Чаще всего в списке на хакерском сайте встречаются карты ВТБ24 и Сбербанка:

Источник ^[5]