Хакер #305. Многошаговые SQL-инъекции
Крупнейший интернет-магазин в Рунете — сайт Российских железных дорог — проспал уязвимость Heartbleed. Через уязвимость в платежном шлюзе, который РЖД использует для продажи билетов через интернет, злоумышленникам удалось получить реквизиты платежных карт, предположительно, 200 000 пользователей.
Говорят, что дыра в шлюзе РЖД и банка ВТБ24 оставалась открытой в течение целой недели.
«Многие, наверное, слышали про найденную уязвимость в криптографической библиотеке OpenSSL. Тот, кто хоть чуть-чуть переживает за свои или пользовательские данные, меняли пароли и исправляли уязвимые системы, так быстро, как только могли. Многие компании делали это в первые часы, а то и минуты, после публичного репорта о баге. Но что делает РЖД и ВТБ24? Они целую неделю позволяют злоумышленникам сливать данные всех банковских карт, которыми люди расплачивались за билет на их сайте. В результате чего, было скомпрометировано более 200.000 карт пользователей.
За один неполный день, нами было слито более 10.000 карт, которые мы публично выложили в качестве доказательства. Но это лишь малая часть того, что могли получить злоумышленники. Поэтому, предлагаем упомянутым выше организациям, назвать точное кол-во карт прошедших в этот период через злосчастный процессинг. Выложить публичный список карт (их масок), чтобы пользователи и банки могли их заблокировать.
РЖД и ВТБ24 (ТрансКредит) были неоднократно предупреждены о серьезной уязвимости в их системе и ее последствиях. (пруф), но отреагировали они только вчера вечером (14.04.2014), то есть через неделю», — пишет активист Кристалинский, который открыл сайт sos-rzd.com.
Хотя представители ВТБ24 официально опровергли наличие уязвимости и упрекают создателей сайта в фишинговой деятельности, но есть свидетельства, что уязвимость действительно оставалась на серверах в течение недели. Во-первых, один из пользователей подтверждает, что нашел свои приватные данные в базе данных сервера (транзакция от 14 апреля). Во-вторых, один из хакеров рассказывал об эксплуатации бага в шлюзе РЖД/ВТБ24 12 апреля.