Хаккеры vs. РЖД: была ли утечка персональных данных с банковских карт клиентов?

В середине апреля этого года в сети появился сайт https://sos-rzd.com, который предлагал всем желающим ввести данные своих банковских карт, чтобы проверить была ли скомпрометирована конкретная карта при онлайн покупке билетов на сайте РЖД. Как пояснял сайт, причиной утечки данных стала запоздалая реакция ИТ-команды банка ВТБ24 по устранению уязвимости Heartbleed.

На хабре вышла статья, в которой указывается, что представители РЖД и банка ВТБ24 отрицают факт наличия уязвимости на их сайтах и обвиняют инициативных хакеров в фишинговой деятельности.

Мы попытались разобраться в ситуации и обратились за комментариями в пресс-службы этих организаций.

В пресс-службе РЖД ответили, что сбой произошел на платежном шлюзе банка, поэтому российские железные дороги тут ни при чем, и перенаправили за комментариями в банк. Кроме того, в своем пресс-релизе, в котором отрицается компрометация данных карт клиентов при онлайн покупке билетов, РЖД приводит факт реальной утечки информации о клиентах, которая произошла в 2009 году в банке ВТБ24.

В ВТБ24 комментарии по телефону давать отказались и попросили прислать официальный запрос, что редакция ict-online.ru и сделала. По прошествии недели никаких комментариев от пресс-службы банка мы так и не получили.

Сам сайт sos-rzd в данный момент не функционирует. В целом ситуация выглядит достаточно неясной и запутанной.

Банк «Аванград» перевыпустил карты тем своим клиентам, которые совершали покупку билетов на сайте РЖД в «период окна», когда уязвимость Heartbleed еще не была устранена. Так, по данным портала Finanz.ru, банк «Авангард» заблокировал около 3500 карт, получив предупреждение от Ассоциации Участников MasterCard о картах, скомпрометированных при покупке железнодорожных билетов. Несколько других банков также перевыпустили карты своим клиентам.


Твит основателя «Рокетбанка» с обещанием перевыпуска скомпрометированных банковских карт клиентов


Практические полное молчание официальных лиц и отсутствие публичных опровержений факта компрометации карт клиентов при покупке билетов на сайте РЖД, заставляет полагать, что утечка данных все же была. Финансовая же безопасность частных лиц остается на совести конкретных компаний.

История вопроса

Открытый протокол OpenSLL предназначен для безопасной передачи данных в интернет. Его релиз состоялся в конце 90-х годов прошлого века. К нашему времени SLL-шифрование уже успело стать криптографическим стандартом. Сегодня подавляющее большинство интернет-сервисов используют SLL защиту по умолчанию. Создателями протокола предполагалось, что все данные перехваченные через такое соединение не могут быть расшифрованы. В протоколе была прописана функция heartbeat, которая позволяла удаленному серверу на основании данных по обмену пакетами с устройством клиента, узнавать находится ли тот онлайн или нет. Ошибка в коде heartbeat и послужила причиной уязвимости, которая получила название Heartbleed. Хакерские эксплойты, используя эту уязвимость, могут сканировать оперативную память секторами размером до 64КБ. Количество таких запросов может быть каким угодно большим, по сути, злоумышленники в ходе таких итераций могут прочитать всю секретную информацию на вашем компьютере. В том числе получить логины и пароли от платежных систем, данные кредитных карт, криптографические ключи и прочее.

Heartbleed просуществовала незамеченной два года. Только 7 апреля 2014 года сообщение о баге появилось в сети. Эксперты назвали эту ошибку катастрофической. Крупнейшие интернет сервисы оказались уязвимыми. Далее события развивались драматически. Кто-то принялся срочно заделывать дыры в безопасности, кто-то радостно сообщал, что не использует SLL-протокол для шифрования данных. Многие компании рассылали своим клиентам сообщения с просьбой поменять логины-пароли от своих аккаунтов.
Мы попросили прокомментировать ситуацию директора учебного центра компании SearchInform Алексея Дрозда.

Насколько вероятно появлений в будущем уязвимостей и ситуаций, подобных истории с heartbleed?

К сожалению, весьма вероятно. Но стоит сразу оговориться, что имеется ввиду открытое ПО. С ним есть несколько нюансов. Во-первых, существует «Закон Линуса», который утверждает, что с достаточным количеством пользователей и достаточным количеством разработчиков, проверяющих код, ошибки в открытом коде будут найдены и постепенно исправлены, результатом чего станет более правильный и безопасный код в сравнении с закрытым/проприетарным программным обеспечением.

Это заблуждение. В книге «Факты и заблуждения профессионального программирования» есть отсылка к исследованию, согласно которому частота, с которой находятся новые баги, не увеличивается линейно с количеством проверяющих. Если же рассмотреть конкретный пример с Heartbleed, оказывается, что за всё отвечал всего один разработчик. И, как он сам сказал, допустил баг по невнимательности.

Но каковы причины? Всё просто – недостаток финансирования. Свободное ПО – не такая уж и денежная жила. Поэтому энтузиастов разработки оказывается не так много, как хотелось бы, а квалифицированных энтузиастов – ещё меньше.

Могут ли специалисты по информационной безопасности держать руку на пульсе, постоянно мониторить подобные баги, чтобы вовремя устранять или предотвращать их последствия?

Могут, но не факт, что хотят. Взять, к примеру, статью издания Bloomberg, в которой утверждается, что Агентству национальной безопасности было известно об уязвимости Heartbleed на протяжении двух последних лет.

По крайней мере, так было до недавних пор. Сейчас мы видим, как ситуация меняется, и хочется верить, что в лучшую сторону. Так, именно после вскрывшихся проблем бага в Heartbleed Linux Foundation, крупнейшие IT-компании создали фонд для поддержки критически важного открытого ПО. Исполнительный директор Linux Foundation Джим Землин сказал, что разработчики ключевых проектов мировой компьютерной инфраструктуры фактически будут получать полноценную зарплату от фонда, чтобы иметь возможность на 100% сосредоточиться на их поддержке и развитии. Нельзя допускать ситуацию, когда разработчики технологий, на которых буквально держится весь интернет, вынуждены работать над ними в свободное время, а пожертвования носят скорее символический характер — так, проект OpenSSL получал в среднем около 2000 долларов в год.

Пресс-служба ВТБ24 до сих пор официально не опровергла факт утечки информации о картах лиц, совершавших покупку билетов на сайте РЖД; некоторые банки (например «Аванград») перевыпустили карты, которые могли быть скомпрометированы. По вашему мнению, насколько соответствовала действительности информация, размещенная на сайте sos-rzd?

Не имея реальных данных под рукой, вряд ли можно дать реальную оценку ситуации. Одни утверждают, что ничего не было. Другие говорят, что скомпрометировано 200 000 карт. Но выкладывают дамп целого дня, в котором чуть больше 10 000 записей. Умножаем на 7 – получаем 70 000, но никак не 200 000. Правда, на мой взгляд, где-то посередине. Решающее слово, думаю, за пользователями. Именно они сами могут проверить и подтвердить\опровергнуть заявления сторон. Некоторые так и сделали.

Скриншот билета, при покупке которого произошла утечка данных
с банковской карты (источник roem.ru)

Скриншот скомпрометированной банковской карты (источник roem.ru)



Как обычному клиенту платежных онлайн сервисов можно обезопасить себя от подобных ситуаций или минимизировать возможные последствия?

Перевыпуск карточки поможет. Но бесплатно это сделать, учитывая позицию банков, вряд ли получится (они ведь опровергают утечку). Также перед совершением платежа можно проверить ресурс на уязвимость с помощью специальных сервисов. Не лишним будет и самостоятельно держать руку на пульсе, читая актуальные публикации тех, кому проблемы ИБ не безразличны. В них можно найти советы по решению проблемы под различные ОС, сводную таблицу по состоянию уязвимости крупнейших банков и ресурсов и т.п.

Автор: Александр Абрамов.

Тематики: Финансы, Web, Безопасность

Ключевые слова: система оплаты, информационная безопасность