Блокировка карт связана с возможной утечкой данных о них в интернет. Утечка, о которой стало известно ещё в середине апреля, как предполагается, была вызвана обнаруженной в пакете данных OpenSSL уязвимостью под названием Heartbleed.
По данным Finanz.ru, около трех с половиной тысяч карт заблокировал банк «Авангард». Также блокировки провели ВТБ24, «Транскапиталбанк», банк «Кольцо Урала» и «Интеркоммерц банк».
Представители «Альфа-банка» заявили, что не блокировали выпущенные банком карты, однако частично ограничили возможности их использования у тех клиентов, кто покупал билеты на официальном сайте РЖД в указанный период времени.
На сайтах самих банков на момент написания этой заметки какой-либо информации о блокировках не приводилось.
Ранее (практически сразу после того, как стало известно о потенциальной утечке) о перевыпуске карт объявлял интернет-банк «Рокетбанк». Крупные банки, в свою очередь, никак не реагировали на распространённую в сети неизвестными хакерами информацию об уязвимости платёжного шлюза РЖД.
Представители РЖД полностью отрицали возможность взлома.
О полной безопасности системы говорили и в руководстве банка ВТБ24, занимающегося проведением покупок на сайте железнодорожной компании через шлюз своего партнёра — «Мультикарты». Руководитель пресс-службы ВТБ24 в комментарии TJournal заявил, что оснований для блокировки использовавшихся на сайте карт нет.
15 апреля неизвестными хакерами на специально созданном для этого сайте «SOS! РЖД» были выложены данные по более чем 10 тысячам банковских карт, которыми пользователи предположительно оплачивали билеты на портале РЖД.
Хакеры обнародовали конфиденциальные сведения в отредактированном виде, заменив часть цифр звёздочками и заявив, что не собираются использовать полученные данные для похищения денег. По их подсчётам в общей сложности из-за бага Heartbleed, которому оказался подвержен сайт РЖД, скомпрометированными могли оказаться около 200 тысяч карт.
Об уязвимости Heartbleed в пакете данных OpenSSL стало известно 7 апреля. Уязвимость, позволявшая похищать данные с сайтов, использующих защищённое соединение, была сразу же устранена. Тем не менее, на обновление сертификатов, обеспечивающих безопасность передачи данных, у многих сайтов ушло от нескольких дней до недели.
Комментарии