Алексей Копылов подтвердил утечку данных покупателей билетов РЖД

Да, это моя карточка. Транзакция была примерно 14 апреля в 01:30 ночи (карту заблокировал, точнее сказать не могу).

Данные по транзакциям за какие даты утекли?

В предыдущей новости говорится, что за период с 7 по 14 апреля. > Если внимательно посмотреть на сайт, он уже сам по себе вызывает много вопросов: вместо фамилий используются цифры, сокращения, встречаются русские или неполные имена, чего не может быть в случае банковских карт. Очень похоже, что это просто фейк. К слову, бред тот еще. Hearthbleed — это не про то, как залезть в базу данных и извлечь данные о валидных транзакциях, а про то, как залезть в память веб-сервера и извлечь оттуда что-нибудь полезное, отправляемое другими (а если повезет — заодно увести закрытый ключ). Мало пользователей интернета, неправильно заполняющих формы? Конечно, ПО платежного шлюза на своей стороне отвалидирует отправленное и ругнется, если что-то заполнено неверно, но именно эти отправленные браузером данные, правильные они или нет, и получают через Hearthbleed. Да, какой-то процент добытых таким образом данных карточек будет неверным, но вряд ли такой, что вся затея теряет смысл. И это не говоря уже о том, что правильность фамилии, имени и billing address проверяется в США и, возможно, еще в каких-то странах, но точно не в России. Г-ну Бочкареву достаточно сообщить, какая версия openssl была установлена на серверах шлюза, содержался ли в ней уязвимый код, если содержался — когда было произведено обновление и был перевыпущен ssl-сертификат. Всё остальное — пустая болтовня.

На сайте РЖД данные карты не передаются. Там идет переход на сайт ВТБ24. Который и осуществляет эквайринг. Если скомпрометирован, то сайт банка, а не сайт РЖД.

Да. Только у РЖД есть своя голова на плечах, провайдера можно было бы и проверить на уязвимость. Да и сейчас РЖД и ВТБ24 жуют сопли, отрицая реальность. Но их можно понять. Это же жуть пиарщика: отвечать на запросы о том, о чём ты понятия не имеешь.

И всё-таки, почему «транзакция была примерно 14 апреля в 01:30 ночи», а на скриншоте 15 апреля?

Султан, держи ещё, кстати: https://vk.com/roem?w=wall-20537665_47910

В самом деле, вопросы к банку должны быть, а не к сайту РЖД. А вот проверять карты на сайте, который якобы хакерами создан, я бы не рискнул — на фишинг похоже.

Да, да, имея в распоряжении шесть первых и четыре последних цифры номера вашей карты, злые хакеры могут делать страшные вещи.

Фишинг? Ну так и что фишерам дадут 4 последних ИЛИ 6 первых цифр номера карты? Вопрос И к РЖД, ИТ отдел которой не почесался проверить и пнуть процессинг, И к процессингу, который якобы не почесался пропатчить уязвимость вплоть до 14 апреля. HTTPS на сайте РЖД тоже присутствует, например на странице авторизации.

Юра, меня интересуют не дополнительные доказательства утечки РЖД в данный момент, а случай с Копыловым. А тут ответа как-то нет, и это несколько фрустрирует.

Султан, так скриншот я сегодня сделал, точнее это не скриншот, а PDF который с сгенерировал из билета на сайте РЖД (с помощью функции печати). Поэтому и дата сегодняшняя.

А, я понял в чем дело :) я не тот билет выложил, щас выложу верный.

Роем меня сегодня немного пугает. «утечка данных банковских карт клиентов РЖД» — РЖД-то тут при чем. Насколько я понял, почитав разные источники, на сайте РЖД данные карт не сохраняются. Все действия с данными и самим картами проходят на сайте банка. Поэтому говорить «скомпрометированных РЖД» некорректно.

Султан, вот верный скриншот: https://dl.dropboxusercontent.com/u/3247369/polyany002.png

Евгений Притчин, клиенты РЖД перестают быть клиентами РЖД, если РЖД принимает деньги от них не напрямую, а через подрядчика? РЖД перестает быть ответственной (хотя бы не по закону, а морально), если ею выбран подрядчик, бездействие которого привело к утечке данных? РЖД клиент мультикарты? Клиенты РЖД перенаправлялись для оплаты в мультикарту? У мультикарты данные утекли? Что именно тогда некорректно в заголовке-то?

Евгений, а они не клиенты РЖД? Вот эта, извините за выражение, блядская концепция безответственности: «Мы страусы, наша голова в песке, общайтесь с процессингом, это его зона ответственности, а у нас вот договор, мы ничего не должны» это что? Это почему никого не волнует? 4 миллиона долларов на компенсации заставят отказаться от шубохранилища или что? РЖД хочет или нет, чтобы люди не боялись покупать билеты на его сайте? С его субподрядчиками?

РЖД хочет. Команде разработки похер. Путь от тех людей, которые в РЖД хотят до команды разработки длинен и заковырист (иначе и сам сайт был бы нормальным). Вряд ли эти люди когда-то общались друг с другом.

Новый скриншот с билетом — билет покупал супруге.

А несет ли кто-нибудь ответственность? Слили 200 000 карточек и теперь просто руками разводят?

В первый раз что ли?

По мнению российских компаний виноваты клиенты — именно они вводили данные карт на «фишинговом» сайте :)

filippenko: простите, но как человек который в своей области постоянно сталкивают с «всем похер», интересуюсь — как это так «РЖД хочет», и «команде разработки похер», «вряд ли эти люди общались друг с другом»? В моей «бинарной логике», если РЖД хочет, то как минмиум формулирует требования к результату. Да, общаться напрямую с разработкой даже не обязательно, но результат-то им нужен хороший?

> интересуюсь > Путь от тех людей, которые в РЖД хотят до команды разработки длинен и заковырист. Особенности крупной компании/корпорации.

не про безопасность, но тоже интересно: про интерфейс и отношение к клиенту в РЖД: http://wohltuend.tumblr.com/private/68644249455/tumblr_mx4742o1Wb1sharzp

Здравствуйте! Я точно также как и автор покупал билет на сайте РЖД 14 апреля. Все данные о моей карте верны. Карта банка Возрождение. Это не фейк! Причем карта использовалась ТОЛЬКО для покупки билета. ТОЛЬКО! И нигде более не светилась, НИКОГДА! Больше ничего и никогда через нее не покупалось. Ни офлайн, ни онлайн. Один единственный раз — это покупка билета РЖД, через шлюз ВТБ. Написал и в РЖД и в ВТБ. Жду ответа. Если Алексею (или администрации Роем) нужны будут подтверждающие данные, могу выслать точно такие же скриншоты с билетом и картой (но без права публикования в сети).

+ 1 к предыдущему комментарию. Подтверждаю про использование всего ОДИН в сети на сайте РЖД (8 апреля) и с первого же раза — попадание. Про наличие карты на сайте не скажу, не проверяла. Но, видимо, мой банк проверил, т.к. о ситуации узнала вчера — в полдень смс от банка о возможной компрометации карты, чуть позже из публикаций в сети прочитала и поняла почему заблокировали. Но у меня кредитка (то есть новость не ужаснула, мои деньги не пострадали бы), и после покупки билета (8-го числа) ни одной операции, судя по отсутствию смс, по карте не было. То есть мой банк узнал о ситуации, получается, из публикаций или только вчера начали деньги со счетов утекать? Если начали. Чего они неделю ждали? И что теперь посоветуете делать? К кому претензии выдвигать? И надо ли это делать, если деньги не утекли. Наверное. Хотя неудобства, конечно, доставили: средства платежа лишили на какое-то время и еще время придется тратить на походы за новой картой.