ロシア鉄道のウェブサイトでチケットを購入するために使用されたカードデータは、たった1週間後(2013年4月15日)にハートブリードの脆弱性が閉じられたという単純な理由で侵害されました。 この間、未知の攻撃者は、センセーショナルな脆弱性を利用して、免責をもってサイトからデータを盗むことができました。
問題に注意を喚起し、未知のハッカーでカードを再発行するようにユーザーを動機付けるために、サイトsos-rzd.comが作成され、4月14日の支払いデータのダンプが投稿されました。 エントリの合計数は10532であり、これにより、脆弱性の瞬間から1週間で侵害された約7万枚のカードについて話すことができます。 何らかの理由で、著者自身がこの数字を20万と呼んでいます。
この状況では、ロシア鉄道とVTB24銀行自体の反応は奇妙に思えます。 彼らは脆弱性を完全に否定し、フィッシング活動のサイトを非難します。
RBCウェブサイトのVTB24プレスサービスからのコメントはこちら
「ウェブサイトwww.rzd.ruでチケットを購入するための支払いゲートウェイに対する攻撃はありませんでした。 ゲートウェイは、最新バージョンのペイメントカードデータセキュリティ標準によって保護されています。 それを介して取引を行うすべての顧客は、支払いの絶対的なセキュリティが保証されています」と、信用機関の報道機関の広報担当者は述べています。 銀行のRBCのソースは確実です。サイトは、訪問者がカードの詳細をそこに残すように作成されました。
ただし、この記述は正しくありません。 ロシア鉄道のウェブサイトに脆弱性があり、著者はこれについて「シンプルなユーザーにとってHeartbleedは何に直面していますか?」 、彼はVTB24ゲートウェイとロシア鉄道のウェブサイトで彼によって脆弱性が発見されたことを確認します。
プレスサービスからの別のコメント
サイトを注意深く見ると、それ自体に多くの疑問が生じます。姓、数字、略語の代わりに、ロシア語または不完全な名前がありますが、これは銀行カードには当てはまりません。 それは単なる偽物のように見えます。
また、非常に奇妙な声明。 この脆弱性により、ユーザーが不完全または不正確なデータを入力した場合、それぞれサーバーメモリからデータを取得することができ、それらはダンプ内で同じになります。 ただし、ほとんどのデータの信頼性はユーザー自身によって検証されます。 たとえば、Flexisのディレクターの1人であるAlexei Kopylovは、自分のデータがこのリストにあることを確認し、カードの写真と電子チケットのスクリーンショットを提供します。
データの信頼性は、RocketbankのCEOであるVictor Lysenkoによって間接的に確認され、リストからすべてのカードを再発行することを約束しています。
フィッシング活動とも収束しません。 このサイトでは、カード番号の16桁のうち10桁のみを確認するように提案されています。 また、最も不思議なことに、データベースをファイルとしてダウンロードし、ローカルでチェックする機会を与えます。
さらに、サイトに対してメディアキャンペーンが開始されたようです。 RBC、SecurityLab、JustMediaなどの大規模なサイトは、問題を理解することなく、VTB24の位置を占め、サイトフィッシングと呼んでいます。
ロシアの大企業が問題を認識し、共同で解決策を講じるのではなく、思いやりのあるITプロフェッショナルの口を塞ぎ込もうとして何も起こらなかったふりをするのは悲しいことです。