
На днях я совершал онлайн покупку в одной российской интернет-компании. Когда я дошел до момента оплаты, меня перебросило на платежный шлюз крупного банка с формой для ввода данных с банковской карты. Это был единственный способ оплаты и я начал заполнять форму.
Ничто не предвещало беды, кроме шестого чувства. Перед нажатием кнопки «Оплатить» я решил проверить платежный шлюз на уязвимость. Все публичные сервисы для проверки дали положительный ответ. Поняв, что продолжать покупку не стоит, я решил узнать, что реально может угрожать пользователям, которые даже не подозревают, что совершают платеж через уязвимый шлюз и насколько легко в этом убедиться?
Убедиться в этом оказалось не просто, а очень просто. После модификации кода одного из готовых эксплоитов на github, в моем распоряжении оказался дамп-файл из кусочков по 64 килобайта. Что же в нем было?

В нем было все. Буквально все, что проходит через платежный шлюз: номер заказа, номер карты, CVV2, ФИО, год и месяц до которого она действительна. За полчаса работы скрипта в дампе оказалось несколько сотен реальных банковских карт и данных об их владельцах.
Разумеется, вся необходимая информация была сразу же отправлена по контактам платежного шлюза и наиболее крупных его клиентов, но на данный момент уязвимость так и не устранена. Напоминаю, что прошла почти неделя с того момента, как публично стало известно о Heartbleed. Остается только удивляться беспечности службы безопасности некоторых крупных компаний и с ужасом представлять, сколько за это время могло утечь карт и другой критической персональной информации в руки реальных злоумышленников.
Обновлено (15.04.2014): уязвимость устранена спустя неделю, после публикации информации о Heartbleed, и три дня спустя с момента моего запроса.
Обновлено (16.04.2014): данная уязвимость была обнаружена в платежном шлюзе банка ВТБ24, который использовался, в частности, на сайте РЖД. Никакого отношения к сайту sos-rzd.com и его авторам я не имею. Рекомендую всем, кто совершал покупки через него в период с 7 по 14 апреля, перевыпустить карты.