Ошибка программистов привела к массовой компрометации платежных карт

Седьмого апреля стало известно о наличии уязвимости в популярной криптографической библиотеке OpenSSL. На первый взгляд, данная информация не имеет никакого отношения к банкам, однако, как выяснилось, именно клиенты кредитных организаций – владельцы платежных карт и пользователи интернет-банкинга - могут пострадать от преступной халатности программистов.

Причины уязвимости и угрозы для клиентов банков

Компонент OpenSSL используется 2/3 веб-серверов в Интернете для шифрования передаваемых данных, в том числе – и при работе в системе интернет-банкинга или с платежными сервисами. Уязвимость компоненты кроется в расширении протокола TLS, другое название которого – Heartbeat – переводится как «сердцебиение». Heartbeat используется для долговременного удержания сеанса связи между клиентом и сервером в случае, когда данные в течение долгого времени не передаются. Протокол позволяет автоматически передавать небольшие пакеты данных, сообщая, таким образом, серверу, что сеанс не прерван. Однако именно в этой функции и кроется опасность. Любой человек может получить в присланном пакете Heartbeat фрагмент содержимого оперативной памяти сервера; также и сервер может получить от клиента секретные данные. В распоряжении злоумышленников, знающих об уязвимости, могут оказаться имена и пароли подключенных пользователей, сессионные ключи шифрования и т.д. Специалисты компании Codenomicon, выявившие слабое место компонента OpenSSL , назвали уязвимость «Heartbleed», от англ. heart bleed - «сердечное кровотечение».

К сожалению, брешь появилась в OpenSSL еще в 2012 году, но о ней никто не писал и не говорил. Уверенности в том, что злоумышленники не пользовались слабым местом компонента, с которым работает большинство банков и платежных сервисов, – нет. Однако даже если хакеры 2 года не знали о «Heartbleed», то 7-го апреля эта информация была растиражирована на многих ресурсах, и уже через 2 часа после вскрытия проблемы начали появляться специальные хакерские инструменты для использования уязвимости. Специалисты пытались всеми доступными способами проинформировать банкиров о проблеме: аутентификационные данные миллионов клиентов могли попасть в руки злоумышленников, и счет шел на часы. Однако финансисты не смогли быстро отреагировать: им требовалось время на то, чтобы проверить информацию и устранить уязвимость, а самый простой вариант - отключение расширения Heartbeat – ни один банк не принял.

По состоянию на вечер 9-го апреля у 2-х банков из 30 проверенных кредитных организаций, входящих в ТОП-30, уязвимость была «не закрыта»: логины и пароли пользователей в течение как минимум 3-х дней были доступны для любого хакера. Об оперативном устранении проблемы отчитались только менеджеры Альфа-Банка и «Русского Стандарта», а ВТБ 24 по какой-то причине не отреагировал на сообщение специалистов, и в результате пострадало около 200 000 клиентов РЖД.

Почему пострадали клиенты РЖД?

В отличие от большинства компаний и банков, которые исправляли уязвимые системы в течение первых минут-часов после сообщения о баге, РЖД и ее эквайер – ВТБ 24 не предприняли никаких мер для защиты своих клиентов. Злоумышленники могли в течение целой недели (с 7-го по 14-е апреля включительно) скачивать данные всех банковских карт, при помощи которых люди оплачивали услуги РЖД. Эксперты утверждают, что скомпрометированными оказались около 200 000 карт.

14 апреля был начал функционировать специальный сайт sos-rzd.com, его анонимные создатели опубликовали данные 10 000 карт, при помощи которых в период с 7-го по 14-е апреля люди оплачивали услуги РЖД. В таблице приведены имя и фамилия владельца, фрагменты номера карты, срока действия и CVV кода. Это было сделано для того чтобы доказать наличие не устраненной уязвимости и помочь хотя бы части пользователей заблокировать свои карты (на сайте можно осуществлять поиск по номеру карты). В результате вечером 14-го апреля РЖД и ВТБ 24 предприняли все необходимые меры и решили проблему.

Официально и РЖД, и ВТБ 24 опровергли факт утечки информации, но в конце апреля и начале мая многие кредитные организации стали массово блокировать и перевыпускать карты своих клиентов, скомпрометированные при покупке билетов на сайте РЖД. По данным портала Finanz.ru, 3 500 карт заблокировал банк «Авангард», более 100 карт - «Транскапиталбанк». Сведения о скомпрометированных карточках финансистам предоставила Ассоциация Участников MasterCard. Также перевыпустили карты банк «Кольцо Урала», «Интеркоммерц банк» и, самое главное, ВТБ 24 (последний заменил порядка 1000 карт). Директор по мониторингу электронного бизнеса Альфа-Банка Алексей Голенищев заявляет о нескольких тысячах скомпрометированных карт, однако перевыпускать их банк не планирует, а ограничится только запретом на совершение операций в Сети без ввода одноразовых паролей. Все карты будут автоматически подключены к системе 3DSecure.

К слову, именно «благодаря» сервису РЖД и была выявлена проблема в протоколе TLS: один из пользователей при попытке купить билет случайно получил данные карт других клиентов РЖД на шлюзе ВТБ 24, о чем сразу же написал на популярном форуме. Неофициальные источники в РЖД винят в утечке банкиров, которые проводили все транзакции. Банкиры рекомендуют людям, которые нашли свою карту на сайте sos-rzd.com, обращаться в правоохранительные органы, а независимые эксперты советуют всем клиентам РЖД, совершившим оплату билетов на сайте в период с 7-го по 14-е апреля, самостоятельно обращаться в банк-эмитент карточки и перевыпускать ее.

Опубликовано: 08.05.2014
X
Сайт использует cookie для персонализации сервисов и сбора статистики посещений. Продолжая использовать наш сайт, Вы выражаете согласие с условиями обработки персональных данных.
Принять