Банк ВТБ 24 в среду опроверг информацию об утечке данных своих клиентов через сайт «Российских железных дорог».
«Никаких атак на платежный шлюз, через который проходит покупка билетов на сайте www.rzd.ru, не было, — сообщили корреспонденту Банки.ру
в ВТБ 24. — Шлюз защищен последней версией стандарта безопасности данных платежных карт, и всем клиентам, совершающим трансакции через него, гарантируется абсолютная безопасность платежей».
Накануне сайт www.sos-rzd.com распространил сообщение об утечке информации по банковским картам при покупке билетов РЖД. Если покупатель расплачивался за билеты с 7 по 14 апреля, то его карта могла быть скомпрометирована, говорится на сайте. Более того, посетителю предлагается ввести номер карты, чтобы ее проверить. В РЖД и ВТБ 24, который является расчетным банком при оплате билетов, утверждают, что это фейковый сайт.
На сайте сообщается, что утечка информации по картам произошла «в тандеме с банком ВТБ 24». Как выяснил корреспондент Банки.ру, сайт www.sos-rzd.com якобы был создан специально неким «энтузиастом информационной безопасности», подписавшимся как Кристалинский, который в своем посте в техноблоге «Хабрахабр» заявил, что уязвимость платежного шлюза он обнаружил 11 апреля и известил о ней администраторов шлюза. Тем не менее уязвимость была закрыта лишь 14 апреля. С помощью программного инструмента для эксплуатации Heartbleed Кристалинский на протяжении суток эксплуатировал уязвимость шлюза, заполучив таким образом данные 10 тыс. платежных карт, которые и выложил на сайте www.sos-rzd.com. По его оценкам, за неделю, прошедшую с того момента, как о Heartbleed стало широко известно, могли быть скомпрометированы данные 200 тыс. карт. Уязвимость Heartbled, отмечает Кристалинский, позволяет хакерам извлекать из оперативной памяти сервера данные, вводимые пользователями при оплате. Таким путем могли быть скомпрометированы все данные карт, требующиеся для интернет-оплаты: номер, срок действия, имя держателя, CVV-код.
По утверждению Кристалинского, клиенты РЖД, приобретавшие билеты на официальном сайте компании 14 апреля, могут найти данные своих карт на www.sos-rzh.ru. Доказательством того, что это не фишинговый сайт, собирающий данные карт легковерных держателей, служит тот факт, что на сайте выложен полный список скомпрометированных данных, закрытых масками (замаскированы шесть цифр из номера карты и второй разряд CVV-кода).