Банки блокируют карты из-за утечки данных РЖД | Forbes.ru
$59.38
69.65
ММВБ2130.39
BRENT62.19
RTS1128.72
GOLD1277.95

Банки блокируют карты из-за утечки данных РЖД

читайте также
+1026 просмотров за суткиБизнес нового поколения лидеров. Как ускорить рост стартапов в России +515 просмотров за суткиЖесткая просадка. Акции банка ВТБ упали до минимальной отметки за три года +218 просмотров за суткиВа-банк: изучен гендерный состав правлений в российском банковском секторе +305 просмотров за суткиБез блокчейна и Big Data. Банк «ФК Открытие» покинули ключевые специалисты по инновациям +124 просмотров за сутки«Вызов для меня сам по себе является мотивацией». Forbes сыграл в Го с председателем ВЭБа +66 просмотров за суткиКризис не отпускает. Российские банки чаще рефинансируют старые кредиты, чем выдают новые +83 просмотров за суткиВ новый год по старым ценам: ФАС отказала РЖД в повышении тарифов +37 просмотров за суткиКража со взломом. Как защитить банковскую карту от мошенников нового типа +16 просмотров за суткиЦБ страшнее: банкиры боятся роста доли госучастия на рынке больше западных санкций +11 просмотров за суткиВслед за «Совестью» и «Халвой». Что будет с картами беспроцентной рассрочки +20 просмотров за суткиЦБ с косой: почему банковская система возвращается в СССР +6 просмотров за сутки Секрет подарка. Что покупают себе россияне на подарочные карты +8 просмотров за суткиГид по скидкам: в каких банках малый бизнес может сэкономить на обслуживании +5 просмотров за суткиПожертвовать анонимностью: как выиграть в гонке за цифровые монеты +9 просмотров за суткиТретий лишний. Почему банкам придется стать человечнее или исчезнуть +3 просмотров за суткиИзлет ставок. Смогут ли полисы ИСЖ заменить россиянам банковские депозиты +15 просмотров за суткиОсенние проценты. Стоит ли пользоваться сезонными продуктами банков +16 просмотров за суткиШлейф «Открытия»: Qiwi выкупила бренд и технологии Рокетбанка и «Точки» +1 просмотров за суткиСирийский след. ЦБ лишил лицензии банк из санкционного списка США +9 просмотров за суткиКарта на вырост. Российские банки начинают конкурировать за детей +3 просмотров за суткиЦена оздоровления: за четыре года на чистку банков потрачено 2,7 трлн рублей

Банки блокируют карты из-за утечки данных РЖД

фото ИТАР-ТАСС
Кредитные учреждения перевыпустят несколько тысяч карт, скомпрометированных при покупке железнодорожных билетов

Российские банки начали блокировать и перевыпускать карты, скомпрометированные при покупке билетов на сайте РЖД в апреле 2014 года. Несмотря на то что госкомпания и ее банк-эквайер ВТБ24 заявляли, что массовой компрометации карт не произошло, российские кредитные организации были вынуждены заблокировать несколько тысяч карт, которыми пользователи расплачивались на сайте железнодорожной монополии.

По данным портала Finanz.ru, банк «Авангард» заблокировал около 3500 карт, получив предупреждение от Ассоциации участников MasterCard о картах, скомпрометированных при покупке железнодорожных билетов. Заместитель председателя правления Транскапиталбанка Евгений Ивановский сообщил, что по той же причине кредитная организация заблокировала около сотни карт.

Директор по мониторингу электронного бизнеса Альфа-Банка Алексей Голенищев также подтвердил, что проблема с утечкой данных на сайте РЖД была, а опубликованные в интернете данные скомпрометированных карт не были ложными. Пострадало несколько тысяч клиентов банка. Впрочем, банк не стал полностью блокировать и перевыпускать карты, а лишь ограничил их функционал, запретив по ним операции в интернете без ввода одноразовых паролей (то есть без формата 3DSecure).

О блокировке карт сообщили также екатеринбургский банк «Кольцо Урала», Рокетбанк (финансовый сервис, карты для которого эмитирует Интеркоммерцбанк), да и сам ВТБ24, перевыпустивший для своих клиентов около 1000 карт.

Ошибка программиста

Информация об утечке данных о картах 200 000 человек, покупавших билеты на поезд на сайте РЖД, появилась в апреле. 14 апреля был запущен сайт sos-rzd.com, анонимные создатели которого утверждали, что из-за ошибки в протоколе шифрования данных информацией о картах могли завладеть злоумышленники.

За неделю до этого хакеры обнаружили уязвимость в криптографической библиотеке OpenSSL, используемой для шифрования данных, в том числе при оплате картами через интернет. Протокол OpenSSL позволял шифровать трафик, используя систему открытых и секретных ключей, с помощью которых можно было сначала зашифровать информацию, а потом расшифровать. Однако из-за ошибки механизмы шифрования соединений не работали. «Мы наблюдаем, вероятно, одну из самых значительных брешей в защите информации за всю историю», — писали тогда специалисты «Лаборатории Касперского» в корпоративном блоге.

Под угрозой оказались пароли пользователей, данные кредитных карт и другая конфиденциальная информация посетителей огромного количества сайтов — «Яндекса», Google, Facebook и миллионов других. Сразу же после публичного сообщения о баге компании начали закрывать «дыры».

Брешь в бронепоезде

В отличие от остальных РЖД и ВТБ24 на решение проблемы потребовалась целая неделя, утверждают создатели sos-rzd.com. Из-за этого более 200 000 карт клиентов компании было скомпрометировано. Произошло это благодаря одному из пользователей сайта РЖД, который, пытаясь купить билет, смог получить данные карт других покупателей на шлюзе ВТБ24 и написал об этом на habrahabr.ru. Затем в качестве доказательства анонимные хакеры выложили данные 10 000 карт, которые им удалось собрать за один день.

В РЖД и ВТБ24 информацию о компрометации карт тогда решительно опровергли — и продолжают делать это до сих пор. «Данные клиентов не хранятся на сайте РЖД, поэтому никакой утечки быть не могло», — ответила пресс-служба РЖД на запрос Finanz.ru. Неофициально представители госкомпании советуют обращаться с вопросами в ВТБ24, так как именно он проводил все транзакции. А в банке по-прежнему отказываются признавать утечку данных: «Еще раз подтверждаем, что через узлы сети ВТБ24 утечки клиентской информации не было». Банк рекомендует обращаться за разъяснениями в правоохранительные органы.

Представитель ВТБ24, просивший не упоминать его имени, рассказал лишь, что банк также воспользовался сайтом sos-rzd.com и заблокировал карты, данные о которых ему удалось там обнаружить. «Источниками утечки данных мы не занимаемся, это не к нам», — заявил он.

В компаниях Visa и MasterCard комментарии получить не удалось.

При участии Елены Зубовой и Петра Руденко

Закрыть
Уведомление в браузере
Будь в курсе самого главного.
Новости и идеи для бизнеса -
не чаще двух раз в день.
Подписаться