Pull to refresh

Comments 260

Всем клиентам, совершающим транзакции через него, гарантируется абсолютная безопасность платежей
гарантируется абсолютная безопасность платежей
абсолютная безопасность платежей
абсолютная безопасность платежей

Ничего, еще пяточек лет цензуры в интернетах — и безопасность действительно станет абсолютной.
Вот, специально отмониторил крупные западные СМИ: через два дня после выявления уязвимости на главной washingtonpost было пять упоминаний (Ctrl+F «heartbleed») из них две на первом же экране (одна из них первой в шапке), аналогично на cnn (4+шапка) и NY times(5). Всё ещё на главных есть упоминания, но уже о поимке канадских взломщиков (не вникал). Контрастирует с нашими государств олигархичес нецензурируемыми СМИ.
А самое вкусное — устранением последствий уязвимости занимается Министерство Внутренней Безопасности (пруф), т.е. государственные органы взяли на себя ответственность по мониторингу, закрытию дыр и координации!

А наши банки вполне очевидно боятся признать какие-либо утечки, т.к. им это грозит серьёзными санкциями, особенно после всего того шухера, который наводили совсем недавно.
PS: Не сочувствую банкам (паразиты же), но их отделы безопасности в полной цугцванг.
UFO just landed and posted this here
А наши банки вполне очевидно боятся признать какие-либо утечки, т.к. им это грозит серьёзными санкциями, особенно после всего того шухера, который наводили совсем недавно.

И открвенно лгут www.banki.ru/news/daytheme/?id=6443641
Новый законопроект предполагает внесение изменений сразу в ряд законов: «О банках и банковской деятельности» (№17-ФЗ), «О СМИ» (№2124-1), «Об информации, информационных технологиях и о защите информации» (№149-ФЗ) и в КоАП.

Итак, по данному законопроекту на ЦБ РФ возлагается контроль за распространением заведомо недостоверной информации о банках и иных кредитных организациях.
В СМИ «запрещается распространение заведомо недостоверной информации о банках и публичных организациях в печатных изданиях, аудио- или видео программах, радио-, теле, видео, кинопрограммах, в виде размещения в сети Интернет материалов, при проведении собраний и встреч с гражданами, публичных дебатов и дискуссий, митингов и демонстраций, посредством выпуска и распространения печатных, аудиовизуальных и других материалов, а также иным способами», а должностные лица органов власти «не вправе комментировать факты, касающиеся банков или публичных организаций до появления информации, размещенной на официальных информационных ресурсах этих органов».

Одновременно с этим реестр запрещенных сайтов предлагается дополнить новым разделом — по немедленному блокированию сайтов содержащей заведомо недостоверную информацию о банках и публичных организациях.

rublacklist.net/7244/
В переводе с юридического языка на бытовой слово «недостоверная» следует понимать как «неугодная банкам»?
Увидят вот эту статью и закроют наш любимый хабр.
Припишут вам изображение детей в контексте «только для взрослых», и понесется…

Сами же знаете, есть блюстители, которым образы девочек никак не по сердцу.

Возьмите фото проводницы 60-го уровня, к ней, как известно, не прикопаешься )

ну или — img.nr2.ru/pict/arts1/r13/dop1/13/10/332.jpg
К слову, о безответственности,
По словам Михаила Задорнова, новую систему можно построить примерно за полгода (национальная система платежных карт).
На коленке соберут систему — потом Мы опять будем страдать — полная безответственность!
ПРО100 в УЭК вполне нормально работает (не считая отсутствия CNP-операций), что они еще там собрались пилить строить?
в соседнем же топике пробегала инфа: мастеркард в любой момент может отозвать лицензию на приложение используемое в этом вашем «нормально работающем» ПРО100.
Я час назад хотел купить билет в ржд, но вспомнил про heartbleed и решил подождать до завтра, кинуть деньги на qiwi и оплатить виртуальной картой.
ну в принципе, они дырку уже закрыли. так что можно было и картой платить.
Главное чтобы в Киви OpenSSL был обновленный )
Это происки американцев. Они обманом заманили РЖД и ВТБ пользоваться империалистической openssl, а потом подло опубликовали уязвимость, не уведомив сотрудников банка в установленном порядке за тридцать рабочих дней в письменном виде. А потом ещё применяют политику двойных стандартов и утверждают, что это сотрудники банка должны за американскими CVE бегать хвостиком, вместо того, чтобы разрабочики в письменной форме с предварительным утверждением и заверенным апостилем присылали бы телефонограммы на имя зам. начальника отдела информатизации.
все так, а soz-rzd хостится в американском дата-центре ЦРУ
О чем неопровержимо свидетельствует .com. Всем известно, что сайты .com они американские, только .ru правильные!
А так-то скоро надо будет свои сайты держать только на Русском Хостинге… имея только Русский домен… да и то по паспорту.
потом подло опубликовали уязвимость, не уведомив сотрудников банка в установленном порядке за тридцать рабочих дней в письменном виде


Коллега, вы не подскажете по ГОСТам подобные документы факсом переслать можно или нарочным засылать следует?
Апостиль (заверенный нотариусом перевод). Можно курьером, можно заказным почтой России.
И что зам. начальника информацизации ВТБ будет делать с дискеткой в одной руке и айпадиком (за 15кк руб — была тут новость) в другой?

Только телефонограмма, только с апостилем.
Отправит в архив, как и сотни писем об уязвимости
И что зам. начальника информацизации ВТБ будет делать с дискеткой в одной руке и айпадиком (за 15кк руб — была тут новость) в другой?


Мой вариант — пристеплерит друг к другу.
Ну вот только не надо гротеска — даже зам. начальника отдела информатизации ВТБ24 знает, что степлер в айпадик вгонять не надо.
Ну вот только не надо гротеска — даже зам. начальника отдела информатизации ВТБ24 знает, что степлер в айпадик вгонять не надо.


Нож цепляться будет?

на имя зам. начальника отдела автоматизированных систем управления же
«Никаких атак на платежный шлюз, через который проходит покупка билетов на сайте www.rzd.ru, не было. Шлюз защищен последней версией стандарта безопасности данных платежных карт.


Если внимательно посмотреть на сайт, он уже сам по себе вызывает много вопросов


Руководство банка просто не поняло как это. По бумагам («за что ТАКОЕ бабло плачено?!») они абсолютно безопасны, а 50к карточек у них увели. А что не понятно — того нет, это все знают! Вот и изложило нам руководство ВТБ24 (крупнейший банк в РФ, его руководство вообще не обязано знать, что существует интернет ;) ) свою версию реальности.

А вообще идея для фишинга шикарная.

По бумагам

В этом большая проблема, когда дело касается безопасности. По крайней мере в РФ точно.
Я, ещё будучи студентом, недоумевал каждый раз, когда речь заходила о сертифицированных ФСТЭКом/ФСБ продуктах. Да. Закладок нет в системах и программах. Но они же дырявые без апдейтов, как дуршлаги. Толку-то от такой сертификации? Данные и так утекут. Одним словом, бумажная безопасность.
хороший термин «бумажная безопасность»
При этом каждый раз, когда я говорю о том, что сертификат удостоверяет что сертифицируемый продукт прошёл процедуры получения сертификата и получил сертификат в соответствии с правилами получения сертификата, меня security-люди обычно минусуют. Мол, там эксперты, которые точно знают и всё делают правильно.
UFO just landed and posted this here
Сертифицированное ПО обновляется с сертифицированных серверов обновления сертификатора сертифицированными обновлениями. Если, например, винда с сертификатом ФСТЭК. Линуксы военные обновляются только выпусками новыми. Докторвеб сертифицированный для Минобороны рассылаемыми по спецпочте запечатанными конвертами. Раз в квартал. Я не шучу и не придумываю.
Вот что-что, а чем отличаются ФСТЭКовские установщики винды от ретейловых мы так понять и не смогли. Ну кроме подтверждения что закладок вроде как нет. Да и никаких сертифицированных обновлений они, насколько я знаю, не предоставляют. По крайней мере нам все приходится обновлять WSUS'ом теми же обновлениями что Microsoft выпускает для всех остальных.
Не то и не там брали. Мы недавно брали еще XP (!!!), так легко гуглится тот магазин, в котором в комплект входит:

1. Верификация установочного комплекта ПО (дистрибутива)*6.

2. Бессрочный абонемент на сертификационную поддержку (на получение сертифицированных обновлений, информационных и консультационных услуг по применению сертифицированных версий ПО)

3. Формуляр на сертифицируемое ПО, промаркированный Голографическим специальным знаком соответствия ФСТЭК России.

4. Копия Сертификата ФСТЭК России на поставляемое ПО, заверенная печатью Заявителя.

5. Формуляр на программу контроля сертифицированной версии ПО Check.

6. Медиа-Кит (CD-диск), содержащий:

6.1. Дистрибутив программы контроля сертифицированной версии ПО Check;

6.2. Руководство по безопасной настройке и контролю сертифицированного ПО;

6.3. Руководство по получению сертифицированных обновлений;

6.4. Драйверы и утилиты для USB-ключей eToken, а также руководства по установке, настройке и работе с ними;

6.5. Набор информационных материалов на сертифицированное ПО.


Дистрибутивные диски одинаковые до байта. Платите Вы за документацию и обновления.
Скорее всего платится за
3. Формуляр на сертифицируемое ПО, промаркированный Голографическим специальным знаком соответствия ФСТЭК России.

4. Копия Сертификата ФСТЭК России на поставляемое ПО, заверенная печатью Заявителя.

Я это подразумевал под документацией.
Как раз недавно встретился докторвеб в одной из презентаций по уязвимостям в антивирусах breaking av software.pdf Кому неинтересно читать, можно смело мотать на 85 страницу. Как оказалось, сертифицированный Минобороны и все-все-все, докторвеб обновляется исключительно через http, т.е. возможен MITM и, как результат, выполнение произвольного кода на клиенте. К таким моментам уже привык.
возможен MITM — не означает что он есть. Ассиметричное шифрование поможет контролировать от кого получены данные
Поясните, что в данном случае подразумевается под асимметричным шифрованием? В презентации явно сказано, ssl\tls отсутствует, обновления никак не подписываются. Более того, баг проверен на практике.
Я выразился против обобщения о взаимосвязи MITM и http. Если приложение использует http, то MITM в нём может и не быть. Если вы говорите о существующем баге — так и пишите что в приложении таком есть MITM. Не совсем корректно сформулировано было.
Про ассиметричное шифрование — ЭЦП передаётся по открытому (то есть незащищённому, доступному для наблюдения, например http) каналу и используется для проверки полученных данных, что защитит от MITM
Достаточно подписать сами обновления и не будет никакого MITM. То есть, обновления-то левые вы подсунуть сможете, но их подпись не совпадёт.
Ну там где требуется сертификация от минобра интернета нет. По крайней мере официально быть не должно.
И обновления к сертифицированному дрвебу приходят не через сеть. Так что функционал обновления там исключительно для использования внутри охраняемого контура.
Если говорить про гражданский (кстати, сертифицирован пока что только drweb 6) Так обновления действительно подписаны. Вы не подсунете левый исполняемый код.
Пару вопросов, если можно:
Вы уверены, что есть существенная разница между «гражданским» и «минобороновским» др.вебом в плане кода? Дает ли право делать такие ошибки в подобного рода ПО тот факт, что скорее всего оно будет использоваться внутри полностью закрытой сети?

В презентации явно написано, что ЭЦП не используется, для обновления компонентов в том числе. Я склонен верить этой информации, хотя можно и проверить.
Вы уверены, что есть существенная разница между «гражданским» и «минобороновским» др.вебом в плане кода? Дает ли право делать такие ошибки в подобного рода ПО тот факт, что скорее всего оно будет использоваться внутри полностью закрытой сети?


Я уверен на 100%, что разницы нет никакой. Сертифицированный drweb == drweb 6 + бумага о сертификации.

В случае сертифицированного ПО нет слова «скорее всего». Оно должно использоваться внутри закрытой сети. Это касательно любых объектов, где обрабатывается информация от ДСП и выше.

С другой стороны гражданское применение. Я сейчас проверил сам, благо есть сервер с обновлениями drweb'а под рукой. Так вот для обновлений там действительно, как написано в статье используется исключительно crc32 и исключительно для проверки целостности при передаче, так как файл с crc32 передается вместе с данными. Так что для гражданского применения плевок в сторону дрвеба принимается.

Я не оправдываю и не поддерживаю существующую в РФ систему сертификации ПО имени МО, ФСБ и ФСТЭК. Я по долгу службы лучше многих понимаю, что существует оно в нынешнем виде в первую очередь для того, чтоб кормились люди при сертифицирующих организациях. Но вот в случае drweb'а организационные меры по обеспечению безопасности информации делают допустимым использование открытых протоколов с точки зрения стандартов безопасности в РФ.
Слышу звон, да не знаю, где он.
Отсутствие SSL в канале передачи далеко не значит, что ПО съест всё, что вы ему подсунете.
Короче говоря, сделали большие глаза и громко кричим, что взломали dr.web. Только вот дальше «а я бы мог» дело там не пойдет. Удачи =)
Да сколько можно? :) Прочитайте наконец презентацию, прочитайте комментарии выше и поймете о чем речь.
Сколько нужно. Мне не интересны домыслы, ни выше, ни ниже. Презентацию я читал, хотя и по диагонали… но это компенсируется тем, что я знаю как работает наше обновление и что там можно и что опасно, и что нет. Я — знаю, вы — нет.
Так и рассказали бы, вместо того, чтобы этим размахивать, как индульгенцией на д'Артаньяновщину.
Товарищ, ты крут. За что люблю хабр, так это за то, что здесь слов на ветер не бросают, а делом показывают что и как.
Сертифицированное ПО обновляется с сертифицированных серверов обновления сертификатора сертифицированными обновлениями.

Хорошая скороговорка. Хайтечная :)
Она точно такая же везде. Или про историю с OpenSSL и Dual EC DRBG все уже забыли? Когда для целей сертификации в OpenSSL был добавлен дырявый аглоритм но никого не волновало то, что он никогда не работал? И изменить уже ничего нельзя (ни пофиксить его ни выкорчевать), так как потребуется заново все сертификаты получать!
Ох-ох. В точку. Радуйтесь, что Вам не пришлось с ними работать. Потому как они дырявые, как сито, даже с последними апдейтами.

Да. Закладок нет в системах и программах.

Ну как сказать. В софте от отечественного производителя так можно сказать с большой долей вероятности. Но, соглашусь с Вами — отсутствие закладок компенсируется таким количеством багов, что непонятно, как продукт смог вообще пройти внутреннее тестирование…
Что же касается сертифицированных версий Windows, то тут вообще не все так просто. Даже если будешь знать где искать закладку, не факт что найдешь.
Как раз 14го покупал билет, и полюбопытствовав, проверил платежный шлюз на уязвимость (в итоге покупал через интернет-банк своего банка). Самое интересное, что после звонка им ни кто не хотел меня соединить с каким либо тех персоналом, хотя я явно говорил, что у них дыра и что данные карт можно украсть. Не знаю также возымело какой то эффект письмо на все адреса что были на сайте втб.
Пока с карточек у людей не начнут массово пропадать миллиарды, они не забегают.
Учитывая темпы инфляции, можно успокоиться лет на 50. :)
Вас ещё и хаккиром могут обозвать и заяву накатать
Интересно, будет какое-нибудь наказание от МПС за нерасторопность банков и платёжных шлюзов?
Максимум накажут владельцев сайта sos-rzd.com.
Ну, вообще, даже если дверь склада вдруг открыта а сторож задремал — поживиться на том складе всё равно будет считаться кражей.
Поживиться — да. А зайти и сфотографировать эту чудную картину?
Ну тут аналогия немного некорректна тогда.
Сайт распространяет краденые персданные.
Это преступление.
С каких пор 10 цифр из номера карты, дата + имя держателя (обычно имя+фамилия, иногда + инициал) стали защищаемыми персональными данными?

У вас каждый магазин/кафе берёт письменное согласие на обработку ПДн? То на слипе-то часто есть carholders name, exp date и те же 10 цифр (6 первых, 4 последних) из номера карты.
Это в исключениях в том же законе. Если необходимо, то можно. В остальных случаях просто так нельзя.
Это спорный вопрос, можно ли считать выложенное персональными данными. Тут люди спорят, не фейк ли это, а вы говорите, что с помощью этих данных можно кого-то идентифицировать. На хабре даже статья была на тему персональных данных, там этот вопрос освещался, вроде бы.
Ну пока не будет свидетельств пострадавших, верить на 100% в это не стоит.
Например, Алексей Копылов, один из директоров компании Flexis, подтверждает, что его данные есть в этом списке и приводит фотографию карточки + скриншот электронного билета.

Каких именно свидетельств?
Так свидетельства-то уже есть, при том вполне известных людей.
Пострадавшие будут, только когда начнут утекать деньги. А это может быть совсем не скоро, когда про этот баг все благополучно забудут.
строго говоря их может и не быть, потому что достоверно не известно попали ли данные в плохие руки или нет, за исключением парней с sos-rzd
Ага. Загорелась на приборке авто «Check engine». Пока кулак дружбы не покажет, верить на 100% не стоит. Ну едет же вроде!
Завел себе вторую дебетовую карту и интернет-платежи произвожу только с нее. Перед оплатой кидаю средства, произвожу операцию — и на карте снова 1 рубль. :-)
\<sarcasm\>Вы ведёте себя как человек, которому есть, что скрывать.\</sarcasm\>
Спасибо за комплимент.
У такого метода повышения безопасности есть еще один плюс.
Когда ваш банк вдруг внезапно входит в режим Panic (он же режим Paranoic), то порой на попытку снять наличность в банкомате другой страны или расплатиться картой за рубежом он реагирует блокировкой карты (восстановить можно только путем перевыпуска), если не может вам дозвониться (а в вашем часовом поясе ночь и телефон выключен).
Некоторые банки просто не звонят, хотя утверждают, что это так. Кстати, тот же ВТБ24.
Вот да. Заблокировали карту за покупки на ебее, ни сказав, ни написав. Обнаружил в самый неподходящий момент, после чего со скандалом разорвал с ними договор.
Покупки на EBay должны проходить через PayPal. Не слышал ни разу, чтобы за PayPal кого-то блокировали. Что у Вас за банк такой, интересно?)
Дак я ответил на жалобу на ВТБ24 — он у меня и был в то время.
ВТБ не позволяет платить через PayPal с некоторых своих карт, по крайней мере так раньше было.
К сожалению, такой финт не поможет, когда нужно купить на кредитные деньги. Если с нее кинуть на дебетовую, то сразу комиссия снимется и грейс не будет считаться
Кто там ночальнег ИТ? Если чей-то сынуля, то будут отмазывать до последнего. Если нет, то на hh.ru скоро появятся новые вакансии…
По ссылке ненавязчивая такая реклама очередного античата… Грамотно ;)
Ребятки, я вас не понимаю. При регистрации черным по белому написано

указанные мною регистрационные данные являются общедоступными персональными данными, не нуждающимися в защите;

Чего вы еще хотели?
А кто-нибудь может объяснить каким образом была эксплуатирована уязвимость?
Насколько я понимаю, атака в данном случае возможна только типа man-in-the-middle, то есть у злоумышленника должна быть возможность либо слушать весь трафик от покупателя до сайта процессингового центра, либо возможность выдавать свой фишиговый сайт за сайт РЖД (путем, например, подмены ДНС), при этом браузер будет вести себя так, как будто это настоящий сайт.
Первое требует приближенности злоумышленника к инфраструктуре процессинга, второе доступа к зараженным машинам покупателей или днс-серверов. И, если предположить, что один из этих ресурсов оказался в руках у злоумышлоенника, то совсем не понятно, откуда данные карт у создателя сайта сос-ржд.
Или я не прав?
… Да ведь уже разжевано 10 раз. Шлете на сервер запрос — в ответ получаете случайный кусок памяти. Шлете много запросов, получаете много кусков, парсите == профит. Причем тут MITM?
Спасибо, перечитал статьи про Heartbleed внимательней.
Молодец, самое главное вовремя все понять. Вон пацаны понял спустя неделю. Это нормальная практика
Вот ещё, чуть более подробное видео.
Непосредственно связан с безопасностью данных по картам одного крупного российско-европейского банка.
У нас порядка 200 карт было скомпрометировано за эту неделю на сайте РЖД, возможно больше. Все они рабочие.
Пока принято решение массово их не перевыпускать, будем смотреть активность.
Как жаль, что все мы не знаем названия этого банка и не можем отказаться от его услуг и знакомым отсоветовать его.
Могу вас заверить, что одного-двух прецендентов фрода по данным картам хватит, чтобы соответствующее решение было принято.
Ну кардеры тоже не все тупые, дадут отлежаться.
Ну конечно, один-два человека, оставшихся без средств — кого это ебёт в банковском мире, сами виноваты, неудачники.
Большинство операций через интернет оспаривается в пользу клиента. Если клиент, конечно же, не пытается обмануть банк.
… через 60 дней в лучшем случае, через суд — в худшем, вы забыли уточнить.
Я, видимо, что-то пропустил. Известные мне success story заканчивались через 10 месяцев минимум.
Тут же ситуация несколько иная: эти карты уже помечены как «попавшие в зону риска не по вине владельца». Так что вполне можно ожидать что по вот конкретно этим картам решение будет приниматься один день, а не 10 месяцев. А так, да, обычно это процедура небыстрая.
Ну да, ну да. Если знаете банк, который решает такие вопросы за один день вместо тягомотины и судов, дайте мне знать.
знаете, в одном сильно проходном месте на банкомате нашли скиммер, банк заблокировал все карты, которые прошли через этот банкомат за срок работы скимера (срок между двух инкассаций).
Знаете сколько народу возмущалось?
им объясняли, что карта скомпрометирована, с нее могут снять ваши деньги, все равно люди возмущались.

поэтому палка о двух концах, банк вынужден думать о том, когда его будут меньше ругать
им объясняли, что карта скомпрометирована, с нее могут снять ваши деньги, все равно люди возмущались.

Смотря как объяснять.
1) «В целях безопасности ваша карта заблокирована»
2) «В то время, когда вы пользовались картой, на банкомате стояло считывающее устройство. Теперь злоумышленники имеют к ней полный доступ.»

Сдаётся мне, банк «объяснял» по первому варианту. Во всяком случае так часто бывает.
Да и заблокировать можно по разному. Можно позвонить, спросить в какое отделение банка доставить новую карту и заблокировать старую только после того, как человек получит новую. Можно прислать СМС «ваша карта заблокированна, обратитесь в отделение банка, которе выпустило карту и напишите заявление на перевыпуск каты».
Сбер блочит и примерно такую СМС присылает.
Когда в сбере перевыпуск карты длится месяц, а счёт заблокированной карты также блокируется и в интернет-банкинге, я бы тоже возмущался.
В отделении я снимал по заблокированной карте, через СБОЛ не пробовал что-то делать с ней. Про перевыпуск дольше двух недель уже давно не слышал.
Уже имели печальный опыт, похоже, придётся повторить. При нахождении в регионе, отличном от региона выдачи карты, любые действия усложняются (если вообще не становятся недоступными), а сроки увеличиваются в разы.
Ну вот я такой и есть. 2 недели, в ближайшем отделении у дома.
Прямо-таки удивительное рядом. Возможно, зависит от регионов, квалификации специалистов или даже везения, но столкнулись с этим недавно – в марте. Возможно, просто не повезло.
В декабре забыл пинкод за несколько дней до отъезда за границу. Перевыпускал в отделении около дома, сказали ждать стандартные две недели, но на пятый рабочий день пришел — карта уже лежала в офисе, может и не первый день
У меня тоже был опыт перевыпуска карты из другого региона. Девушка честно пугала месяцем, но всё готово было уже через две недели. Видимо, как повезёт.
Ну я тоже в Питере, а карта из Мурманской области. В отделении был переполох, но с помощью заведующей всё быстро разрешилось.
UFO just landed and posted this here
информации и аргументов не хватает (одно свидетельство + здравый смысл)

сможете подтвердить (или опровергнуть), что база на сайте сос-ржд это как раз карты, по которым были операции через втб-шный шлюз при покупке РЖД (по «анонимным» картам вашего «анонимного» российско-европейского банка)?

было бы оч. полезно всем невезучим 70-200к пользователям втб-РЖД.

лично мне (тоже попавшим в эти 70-200к), история с втб-ржд показалась оч. достоверной и свою скомпроментированную втб-ржд карту я уже заблокировал и заказал перевыпуск.
К сожалению, вам остается поверить мне на слово. Я, опять же, к сожалению, не могу комментировать ситуацию даже внутри банка, не говоря уже о хабре.
Могу подтвердить как минимум один случай. Покупка билетов на сайте ржд 14 числа. Все данные по карте корректны.
UFO just landed and posted this here
У Альфа-банка отключена на текущий момент оплата с их карт через интернет, в колл-центре сказали как раз про проверку из-за утечки РЖД-ВТБ24.
Подтверждаю. Критерии для блокировки карт у них уже есть. Себе заказал перевыпуск досрочно, остальных, скорее всего, заблокируют на днях принудительно.
За досрочно 240 рублей перевыпуск, девушка с поддержки Альфы сказала недели 2 назад.
Сейчас перевыпускают бесплатно.
«Никаких атак на платежный шлюз, через который проходит покупка билетов на сайте www.rzd.ru, не было. Шлюз защищен последней версией стандарта безопасности данных платежных карт.

Убило. Это для бабушек что ли объяснение? Напомните, что там за «последняя версия стандарта безопасности данных», тоже себе хочу поставить.

За эту неделю хартблидовскую я думаю столько утекло карточек (не только через РЖД), что через некоторое время, когда они разойдутся по рукам кардеров и начнётся массовая обналичка и оплата этими картами в интернет-магазинах, глупо уже будет отрицать очевидное и петь песни про «последнюю версию стандарта безопасности». Насыщенные нас ожидают ближайшие полгода. Запасаемся поп-корном.
Всё-таки обналичить деньги с этих карт будет крайне проблематично, скорее вообще невозможно.
По какой причине проблематично?
Чтобы обналичить, обычно нужна сама карта. А вот заплатить за что-нибудь — вполне.
Подождите, зачем нужна сама карта, чтобы украсть с неё деньги по её реквизитам? А потом обналичить.
Потому что очевидно, что распечатанную бумажку с данными карты в банкомат не вставить, а операции, связанные с прямым переводом денег через интернет (например, я.деньги или киви) почти у всех банков идут с подключением 3д секьюра.
Ключевое слово «почти».

3D Secure — это не способ обезопасить клиента от мошенников, это способ обезопасить банк от претензий клиентов.
Если система оплаты просто-напросто не поддерживает 3D Secure, то операции пройдут без подтверждений.

И даже более того, есть MCC-коды оплаты, по которым даже CVV/CVC не требуется, только номер карты (например, платежи за гостиницы).

И даже, в случае Сбербанка, даже без смс-оповещений. Например, uslugi.tatar.ru списывают платежи за ЖКХ по реквизитам сберовской карты без подтверждений. А факт оплаты можно будет увидеть только в выписке или в интернет-банке (СМС не придёт).
Это не обналичивание денег, про которое вы говорили.

Весь интернет, как я написал выше, при проведении претензионной работы обычно оспаривается в пользу клиента.
Это не обналичивание денег, про которое вы говорили.


Если по реквизитам вашей карты злоумышленники забирают деньги с вашего счёта, а затем получают их в виде наличных, то что это, как не обналичивание?

Весь интернет, как я написал выше, при проведении претензионной работе обычно оспаривается в пользу клиента.


На время претензионной работы (а это очень долго в РФ) клиент остаётся без средств (если дебетовая карта) или ему начисляются проценты (если кредитная карта).

Поэтому, если данные вашей карты скомпрометированы, не стоит уповать и надеяться на претензионную работу, а стоит немедленно перевыпустить карту уже с другими реквизитами. Я вас пытаюсь убедить именно в этом.
Я не пытаюсь спорить с последним вашим утверждением, однако я не представляю как даже после условной оплаты отеля или жкх (хотя кто будет это делать, если потом на мошенника можно будет выйти на раз-два) можно эти деньги будет обналичить.
Я всего лишь привёл пример, где 3D-Secure не поддерживается, а оплата проходит.

Необязательно это будут гостиницы или ЖКХ.
А что тут представлять? На этих примерах (отель и жкх), можно применить схему обналичивания «слепой дроп». Человек, через которого пойдет обналичивание (дроп), ничего не будет знать о том что это «серая» схема (он будет слеп). Что-то типа сайта «Номера в отелях РФ за полцены».
И такая услуга активно предлагается для отелей и авиабилетов
А факт оплаты можно будет увидеть только в выписке или в интернет-банке (СМС не придёт)

А как они стыкуют это с законом о национальной платежной системе? (в части уведомления об операциях с применением электронного средства платежа)
А как они стыкуют это с законом о национальной платежной системе? (в части уведомления об операциях с применением электронного средства платежа)


Мне кажется, что никак.
Напомните, что там за «последняя версия стандарта безопасности данных»

Наверное они про OpenSSL 1.0.1
… в котором нет запрета на использование уязвимого к heartbleed ПО…
Ага. Для бабушек, которые не в курсе, что атака не оставляет следов.
Эм, ну ведь в логах веб-сервера должны оставаться запросы, которые можно идентифицировать как эксплуатацию HeartBleed?
В том-то и дело. Heartbleed вообще никак не пишется в логах. Абсолютно никак. По аномальной активности аккаунтов можно только выявить, что что-то было.
Я вот, может, совсем дурак, но объясните мне тогда.
Heartbleed позволяет получить дамп памяти сервера специальным запросом. Как так этот запрос не остаётся в логах и неотличим от нормальных запросов?
Этот запрос — обычный кипалайв. Ничем не примечательный, постоянно гоняемый между сервером и клиентом. Просто если клиент определенным образом сформирует этот кипалайв, то сервер нечаянно выдаст ему кусок памяти вместе с откликом. Следов нет — никто не будет логировать кипалайвы, обычно они безобидны.
Ну, т.е. след то есть. Ибо кипалайв будет только среди тех, кто https соединение установил. А это в логи попадает. Но это получаются все клиенты сервера. Искать надо только среди них. Т.ч. формально след есть, но след преступника никак не отличить от следов тысяч клиентов этого сервера.
Ибо кипалайв будет только среди тех, кто https соединение установил.

То есть все кто когда-либо подключались. А может быть, если был согласован SSL, но не было отправлено HTTP запроса — и этого нет.
Оно не будет очень быстро разорвано? И можно послать кипалайв на такое ssl соединение?
Надо закапываться в RFC — честно говоря, лень. Но по логике должно какое-то время повисеть. Так как кипалайв относится к SSL — ему нет дела до того, что происходит уровнем ниже на HTTP.
Ну и в любом случае наиболее правильно было бы изображать совершенно обычное блуждание по страницам, втихую делая черное дело кипалайвами.
heartbleed в https происходит уровнем ниже «http», на уровне «s». А логируются именно данные уровня «http». Так что нет, в логах абсолютно чисто.
Ну, грубо говоря, оно останется в DEBUG-level логах, но их же никто никогда не использует.
Да, точно. Не поверите, мы используем в одном случае, но на этом сервере не было уязвимости (openssl 1.0.0).
UFO just landed and posted this here
покупал в РЖД билеты 3-4 раза за последнюю неделю, на этом скомпроментированном шлюзе втб.
До 14.04 смотрю были у меня транзакции:
11.04.2014 00:33
11.04.2014 17:55

карту свою в базе с sos-rzd не нашел, но то, что:
«Шлюз защищен последней версией стандарта безопасности данных платежных карт. Всем клиентам, совершающим транзакции через него, гарантируется абсолютная безопасность платежей»
подсказывает, что проблема могла быть (никто ничего не сказал, что проблемы не было).

p.s. карту, которой пользовался для этих покупок в РЖД, после прочтения поста и до написания комментария, заблокировал и заказал перевыпуск.

на сайте данные за 14 апреля только
дамп, который они выложили выглядит очень правдоподобно (то что там есть ошибки в инфо, лишь подтверждает его «реальность», а не сгенерированные данные)
есть старые карты (с датами 0314, 0214, 0114) — 13-го года не нашел — видимо, платежный шлюз на 13-й год выдает ошибку и не принимает уже (интересно почему месяц не проверяет?)
русские имена — люди часто не понимаю, что от них хотят и пишут те же имена, что писали заполняя данные при покупке билета

распределение по датам карт, тоже похоже на реальное с пиком на 16-м году (забавно, что есть карты до 21-го года).
Нашел много «однотипных» номеров (из первых 6-ти цифр) для своих существующих карт (сбер, втб и др.), причем в пропорциях СООТВЕТСВУЮЩИХ РЫНОЧНЫМ ДОЛЯМ этих банков (моему представлению об этом)
Распределение имен и фамилий тоже оч. похоже на истинное.
распределение написание имен в разных транскрипциях оч. похоже на истинное.

для себя я вывод сделал: карту, которой пользовался заблокировал
а про 4 последние цифры знаете? их даже на чеках печатают
последняя цифра — контрольная (считается по алгоритму Луна).
3 предпоследние — часть номера.

Причём на Хабре была статья как получить полный номер карты зная его часть.
Обычно на чеках печатают первые ЧЕТЫРЕ и последние четыре.
на котором выложен дамп платежных данных за 14 апреля. Общее количество записей 10532, что позволяет говорить о примерно 70 тысячах карточках скомпрометированных за неделю с момента уязвимости. Сами авторы называют почему то цифру 200 тысяч


видимо, потому что «За один неполный день, нами было слито более 10.000 карт, которые мы публично выложили в качестве доказательства.», а 200к у авторов сос-ржд — это оценка +-100к
На мой взгляд 200 тыс слишком раздуто звучит, пока мы не знаем точный период сбора информации.

Допустим данные собирались днем, тогда в ночные часы посетителей будет меньше. Сервис РЖД работает на всю Россию, но опять же в Центральной России самая высокая плотность населения и наиболее распространены электронные платежи.

Поэтому 70 тыс это гарантированная цифра, а 200 тыс самая пессимистичная.
В любом случае меры нужно принимать по пессимистичному сценарию.
по-хорошему, да.
кст банк упомянутый в статье в итоге сделал перевыпуск всех карт засвеченных на этом шлюзе за проблемный период. по крайней мере, его СЕО так пишет у себя в твитере
ну да, 70к это Ваша оценка исходя из предпосылки «если бы это данные за целый день и этот день примерно как и все остальные дни недели». Я лишь написал, что сами авторы сос-ржд сразу написали, что это не полный день (информации о том когда и сколько они собирали у них больше, но судя по методу использования уязвимости — даже у авторов не будет гарантии, что они собрали 100% всех данных за это время).
Поэтому их оценка в 200к тоже сделана, видимо, с большим количеством допущений и кстати они тоже дают оценку снизу «более 200к»
Друзья, а если карточки с 3dsecure — верификация по смс, можно не боятся, или все-таки стоит предпринимать какие-то действия по защите?
3d secure это опция, которая может поддерживаться, а может не поддерживаться сайтом, где вы платите. Ничего не мешает расплатиться на сайте, где 3d secure не поддерживается.
Карту у вас не украли, телефон не украли. Даже если и захотят воспользоваться — придёт СМС. Если таки придет без вашего ведома — звонок в банк и всё.
Как пример всегда привожу Сбербанк. Если картой Сбербанка расплатиться на сайте без 3D-Secure, то смс от Сбербанка не приходят. Узнать о списании можно будет только из выписки или из интернет-банка.
хм, девушке приходят… Вчера буквально покупал с её карты без 3d secure.
Значит, не по всем MCC так. uslugi.tatar.ru списывают за жкх, а смс не приходит (только у СБ РФ так, другие банки нормально)
Кстати, друг пару дней назад жкх в Москве оплачивал. Смс не пришло, мы еще что-то обсуждали на эту тему.
Я не утверждаю что это везде, но где бы я не расплачивался Сбером, всегда приходит письмо о том, что выставлен счёт, а потом о том, что он оплачен или не оплачен. Если это с 3D secure — то это конечно минус. Но где-то читал, что если сам сайт не делает платежи через 3d secure — то он может получить по шапке. Но там как-то хитро ответственность сторон распределена.
у меня сбер. даже без 3д (амазон) приходит смс
Значит, не по всем MCC-кодам у сбера так.
сайт создан для того, чтобы его посетители оставляли там данные своих карт.

Дааа. Номер карты прям страх какая конфединциальная инфа.
Уважаемые минусующие, аргументируйте чем номер карты так конфеденциален и накой он нужен фишеру без остальных данных. Спасибо.
По номеру карты можно расплачиваться в сети. Без CVV. На Амазоне, например.
UFO just landed and posted this here
А чем реально грозит компрометация данных карты?

Например, по тем данным попробуют совершить платёж\снять наличку\whatever – мне сразу же придёт смс (а если попытка снятия наличных будет в другой стране – банк вообще сразу же заблокирует карту).
Звонок в банк по факту такого смс – и транзакция отменяется, карта блокируется. Так? Или не всё так просто?

p.s. ни в коем случае не пытаюсь оправдать подобную безалаберность РЖД\ВТБ24.
Звонок в банк по факту такого смс – и транзакция отменяется, карта блокируется. Так? Или не всё так просто?
По факту вы пишете заявление об оспаривании транзакции, оно рассматривается (скажем, 2 недели) и вам приходит ответ. Он может быть положительным и отрицательным. Банк обязан будет списать деньги по авторизованным транзакциям, когда придет запрос на списание, даже если вы позвонили через минуту после операции.
Почитайте изменения в законодательстве с этого года.
Это как сказать: «Глянь diff HEAD и первого коммита в этом году». Не могли бы вы указать, какие статьи нужно читать? Изменений законодательства с начала года должно быть довольно много.
Мне приходит на ум следующая схема. Вашей картой ночью кинут денег в покер рум, где их успешно проиграют случайным людям, один из которых не случайный. Ну получит он процентов 15% от этой суммы, чтобы не палиться особо, выведет их. Вам, вероятно, даже вернут деньги. Но дней через 60.
Вся схема гораздо проще проворачивается через биткоин-биржи с минимальной комиссией. Следов вообще не найдёшь.
habrahabr.ru/post/219691/?reply_to=7502913#comment_7502957

Как пример всегда привожу Сбербанк. Если картой Сбербанка расплатиться на сайте без 3D-Secure, то смс от Сбербанка не приходят. Узнать о списании можно будет только из выписки или из интернет-банка.
Пользователи Сбербанка сами себе злобные буратины, простите.
Многие являются пользователями Сбербанка вынужденно (зарплатные проекты на работе, пенсии и т.п., вплоть до отсутствия любых других банков в населенном пункте)
И, кстати, ничуть не жалеют. Сервис на уровне, косяков нет. «Страшных очередей» тоже.
Ох, я вынужденно пользователь ФондСервисБанка. Лучше бы был сбербанк :D
UFO just landed and posted this here
Зарплатный проект же. Ну, моё пользование таковым является условно. Картой не плачу нигде, деньги почти сразу перекладываю на что-то более удобное. Но формально — клиент и пользуюсь.
UFO just landed and posted this here
Я все это прекрасно понимаю, но некий жизненный опыт подсказывает, что с бухгалтерией лучше не ссориться. А это всё же некий конфликт.
Просто для меня это не проблема в общем-то. Скажем так, неудобства меньше количества энергии, необходимой чтобы их преодолеть. Как максимум — повод поворчать.
Я завтра менеджеру проекта это расскажу, когда он придёт с очередной фичей. Мол, ходют тут всякие, то ему поменяй, это ему поменяй, не дадут хабр почитать спокойно… Какая разница, что это моя работа, не надо усложнять мне жизнь.
UFO just landed and posted this here
1. Если вы рядовой сотрудник и даже менеджер среднего звена, вас никто и слушать не станет.
3. Так и сбер бывает без отделений, по банкомату на село.
4. Практически везде сейчас зп перечисляют на карточку, никто не хочет возиться с налом. Ставят банкомат Сбера один на всё село и всё.
4. Не так уж живут в населенных пунктах, где нет других банков кроме сбера и чтобы там прямо массово платили ЗП на карточку — сколько таких 1-2-5% населения?

У нас сбер и россельхоз. Больше нет. Все (абсолютно все!) организации и более-менее крупные предприниматели на зарплатных проектах, поделены между ними.
Сбер просто рай по сравнению с россельхоз.
4. Беда в том, что населения-то может и не много, но городков таких очень много. Либо есть какие-то другие, но локальные, банки, с которыми проблемы начинаются уже при выезде в соседнюю область.
Я вот хочу Сбер, ибо по моему кругу только их банкоматы и есть.
UFO just landed and posted this here
Смотря сколько будет стоить обслуживание. И насколько удобно будет получать эту карту (ТКС не предлагать). И ИБ чтоб из линукса доступен был.
UFO just landed and posted this here
Я правильно понял что это был единственный вариант?
Пока самое удобное получение карты для меня было именно в ТКС, действительно два дня на выпуск именной карты и доставку прямо в руки. Рокетбанк тоже доставляют за 5-7 дней, но лишь по Москве и Питеру, к тому же пока мобильный клиент лишь для айфонов. Ещё вспомнился Связной банк – салоны по всей стране, адекватные проценты (в зависимости от остатка).
UFO just landed and posted this here
3. Ага, и эти «банки, работающие везде без отделений» некоторым своим пользователям (может поделом и там какие-то тёмные махинации проводились, но все-таки) заявляли «всё, теперь все операции только при личном присутствии в офисе». А он, соответственно, один и в Москве.

Естественно, речь идет не о всех дистанционных, а об одном конкретном, но и вы небось о нем же.
UFO just landed and posted this here
А вот и пример: www.banki.ru/services/responses/bank/index.php?responseID=5168961&PAGEN_5=3&SIZEN_5=10

Кучи таких виртуальных карт есть на том же plati.ru и их обычно используют для покупок на заграничных сервисах, не только не работающих в России, но еще и не принимающих выпущенные тут карты. Мне до этого казалось, что это относительно легально (если не учитывать правила оплачиваемого сервиса), оказалось — не совсем. Поэтому даже с относительно чистыми намерениями можно нарваться на ограничения.

Хотя в данном случае наверное можно было запросить скриншот личного кабинета у продавца реквизитов виртуальной карты.
Я не знаю как в других банках, но в моем банке звонка о неправомерном списании недостаточно — необходимо придти в офис и написать заявление, которое рассматривается банков от 10 до 30 суток.
Уже как-то поднималась тема о том, что Вам банк обязан, а что нет. Много интересного поднялось в ней, к сожалению много интересного осталось за кадром, ибо было получено в результате дальнейшего общения со знакомыми из разных банков с вопросом «Это действительно так?! Как это?!!»
Фактически сохранность денег на карточках банк нам обещает под честное слово. Прямо говоря, реальные шансы отменить транзакцию у Вас есть, если НЕ введен CVV2 код И НЕ использован 3d-secure И НЕТ чека с Вашей подписью. Во остальных случаях крайне вероятен вариант «тяжело, муторно и через суд без гарантированного результата». Ибо постановка вопроса следующая: «Вы сами потеряли данные карты, а по договору Вы (клиент) несете за это ответственность».

Еще как вариант Ваша карточка может служить как верификация личности на каком-нибудь маргинальном сайте. Вы же не хотите, чтоб по Вашей карте была куплена VDS, на которой размещены материалы о продаже голыми детьми наркотиков для самоубийства?
Интересно, а платежи в пользу Аэроэкспресса тоже через этот шлюз идут?
Что мешает не только здесь любопытствовать, а зайти на сайт Аэроэкспресса и попробовать купить билет?
Вот, что вы ждали: нет, платежи там через ruru.ru, банк Юнистрим.
Помните была тема на Хабре про то, что данные волонтеров Сочинской Олимпиады незаконно передали РЖД, и группа граждан начал вопрошать «а чего в этом плохого?», да?

Вот вот.
А потом топик был удалён за олимпиадосрач в комментариях
Ввёл контрольную сумму карты (которая не является особой тайной, ибо пишется на половине чеков).
Система выдала некую Елену с той же контрольной суммой, но естественно другим номером.
Если кто решится провериться — рекомендую поступать именно так (вводить последние 4 цифры карты)
Покупал 7 апреля билеты. Сначала решил довериться безопасности тинькова и не делать перевыпуск.
Подумав еще маленько решил не рисковать, до конца карты еще два года и перевыпустить. Через два дня привезут новую, бесплатно.

Это я к тому, что не бойтесь проблем связанных с перевыпуском. Хотя бы попробуйте)
Вам хорошо, а я вот ВТБ-шной картой платил, в итоге за «срочный» перевыпуск 375 рублей, плюс сам «срочный» только так называется, по факту получу только в среду следующую
М-да. Если бы у меня был ВТБ, я бы наверное пошел на принцип, оставил на карте пару рублей и ждал когда ВТБ признает за собой косяк и перевыпустит за свой счет.
У меня ВТБ. Давний пользователь, очень их любил, но как-то отношение портится. Пожалуй сделаю так, как вы и предложили.
Я бы тоже так сделал, если бы это не была кредитка на 100 тысяч…
Извиняюсь конечно, но на мой взгляд «светить» кредитовые карты в интернете не самая умная идея…
Я понимаю, но нужно было купить билет, а на картах своих денег в тот момент не было.
Переводить кредитные деньги на другую карту — комиссия и отсутствие грейс-периода.
Сбер: письменное заявление, две недели ожидания (бывает меньше), поход и до 500 денег.
Сбер, на прошлой неделе: поход в обновленное отделение рядом с домом, с электронными очередями увеличенным штатом, народу, много но раскидывают их быстро. Заявку за меня заполнил консультант в компе, распечатал, я только подписал. Замена карты бесплатно, 5 дней.
Не по всем картам и ситуациям бесплатная замена. Я тоже менял бесплатно (это тоже до 500 денег), но ожидал две недели.
Покупал билеты на сайте РЖД 15-го в 13 часов по Москве, вчера мою карту заблокировал банк (Уралсиб). Только что вернулся из банка, там сказали что провели массовую блокировку карт из-за подозрительной деятельности, организовали перевыпуск (бесплатно).
ну вот видите, не зря шум подняли
Откуда известно начало периода уязвимости? Ошибку нашли 3-го — судя по английской википедии.
Ошибка была там 2 года… 3-его она стала известная широкой общественности. Сколько ее юзали «в закрытых кругах» — не знает никто…
Покупал билеты 6 числа. Есть ли смысл в перевыпуске?
99% что нет, уязвимость стала известна широкой публике 7 апреля

но если у вам там миллионы…
Перевыпуск бесплатный, так что перестрахуюсь.

А то уже были случаи…
Ну надо же было мне купить билет на сайте РЖД именно в этот период! Думал перевыпускать карту или понадеяться на авось. Все-таки в Германию ее вряд ли отправят. Но сегодня позвонили из Яндекс.Деньги (где у меня была карта) и милая девушка сообщила, что в связи с этой утечкой они мою карту уже заблокировали и готовы ее перевыпустить и бесплатно отправить даже заграницу.

Спасибо Яндексу за заботу о клиентах! А РЖД минус в карму за факап и двойной минус за то что отказываются его признавать!
Мой коллега в этот уязвимый период покупал билеты. Пару дней назад ему звонили из СБ банка (Внешпромбанк), рекомендовали перевыпустить карту.
Вот и коллеги по цеху подтянулись. МКБ и ПСБ деликатно пытаются защитить своих клиентов. Но очень деликатно, потому что кто они такие против РЖД и ВТБ?

www.banki.ru/news/lenta/?id=6556179
Sign up to leave a comment.

Articles