?

Log in

No account? Create an account
MetroDream by Russos
 
[Most Recent Entries] [Calendar View] [Friends View]

Friday, May 9th, 2014

Time Event
1:03p
А вот кто оплачивал покупку билета по банковской карте?
Пока я с друзьями катался по горам Кавказа, почти завершилась история с утечкой данных банковских карт при покупке билета на сайте РЖД.

Мне кажется, что этот случай достоин того, чтобы его преподавали на курсах пиар-специалистов как пример, как не надо делать. Вообще, на мой взгляд, первое, чему должны учится сотрудники пиар-служб — что делать, если случился пипец, и умению признавать свои ошибки... Подсказываю, молчать и нести оправдательную ахинею — неправильный ответ.



Напомню, что история началась 7 апреля, когда сотрудники The OpenSSL Project выпустили бюллетень безопасности, в котором сообщается о критической уязвимости в популярной криптографической библиотеке OpenSSL. На Хабрахабре все подробно расписано и желающие могут самостоятельно ознакомиться.

Уже 12 апреля на Хабре появился новый пост про он-лайн покупку в одной российской интернет-компании. Уязвимость все еще на месте, хотя с момента обнаружения прошло уже 5 (ПЯТЬ) дней.

А 16 апреля появился апдейт предыдущего поста: «данная уязвимость была обнаружена в платежном шлюзе банка ВТБ24, который использовался, в частности, на сайте РЖД. Никакого отношения к сайту sos-rzd.com и его авторам я не имею. Рекомендую всем, кто совершал покупки через него в период с 7 по 14 апреля, перевыпустить карты».

Еще раньше появился сайт https://sos-rzd.com/ на котором можно проверить карты и на котором утверждается, что утекли данные по 200 000 картам. Несмотря на полезность сайта, чтобы проверить что там с твоей карточкой, мне лично было бы стремно вводить на нем даже не полный номер своей карты. Как говориться, просто нет, на всякий случай. Но, для таких параноиков, как я можно скачать текстовый файл с номерами карт, которые засветились 14 апреля в операциях. А если вы в эти дни (с 7 по 15 апреля) покупали железнодорожные билеты, то лучше свою карточку перевыпустить. Мало ли.

Тут-то все и забурлило...

Новости и статья посыпались с экранов мониторов. Например вот, вот или вот. Даже если статьи где-то друг-другу противоречат, то везде цитируют пресс-службу банка ВТБ, которая утверждает, что утечки не было. И по сути утверждает она это почти целый месяц! Все хорошо!

«Пресс-служба ВТБ24 опровергает факт утечки информации. «Данная информация неверна, это фейк, — сказал представитель пресс-службы кредитной организации. — Никаких атак на платежный шлюз, через который проходит покупка билетов на сайте www.rzd.ru , не было. Шлюз защищен последней версией стандарта безопасности данных платежных карт, и всем клиентам, совершающим транзакции через него, гарантируется абсолютная безопасность платежей». Источник в банке считает, что сайт был создан для того, чтобы его посетители оставляли на нем данные своих карт.

Представитель пресс-службы РЖД также не подтверждает утечку информации. «Мы крайне не рекомендуем вводить номера своих карт на сайте sos-rzd.com», — сказал он, уточнив, что на сайте РЖД не хранятся данные пользователей карт.
»

А седьмого мая, т.е. позавчера, внезапно проснулись другие банки, которые начали массовые блокировки карт и их перевыпуск. Спрашивается, чего раньше делали-то? На Форбсе традиционно весьма хорошая статья на тему карт и жд.

Позавчера вечером на сайте РЖД появился пресс-релиз в котором сказано: «В связи с появлением в СМИ публикаций, касающихся работы сайта компании, пресс-служба ОАО "РЖД" опровергает информацию о том, что в период с 7 по 14 апреля сайт компании подвергался хакерским атакам.

Утечки персональных данных платежных карт клиентов с сайта ОАО "РЖД" быть не могло, так как на сайте ОАО "РЖД" такая информация не вводится и не хранится: при покупке билетов после выбора места пользователь переходит на платежный шлюз по защищенному соединению. Работу платежной страницы для сайта ОАО "РЖД" обеспечивает Группа ВТБ
».

Пресс-служба ВТБ в лучших традициях криворуких специалистов все еще продолжает молчать и отнекиваться. В новостях пресс-службы нет ни слова о каких либо проблемах, хотя такая информация, касающаяся безопасности платежей, должна быть написана большими красными буквами на первой странице.

В общем, что мы имеем в итоге? Утечка данных — таки, похоже, была. Судя по всему, где-то в ночь с 14 на 15 апреля дырку на платежном шлюзе ВТБ наконец-то залатали. Не очень понятно, зачем это отрицать, порождая различные слухи, предположения и непонятные телодвижения от других банков.

Позиция ВТБ выглядит крайне странно. РЖД платит банку-эквайеру за безопасность операций на сайте (фактически, отдает это дело на аутсорс). В чем смысл сидеть и молчать, и подвергать даже риску не только клиентов, но и репутацию своих партнеров?

Так что теперь на лекциях по пиару можно рассказывать еще один случай, как пиар-службе не надо себя вести в случае косяков. В наше время скрыть такой провал невозможно, а своими действиями пресс-служба ВТБ просто выставила свой банк в еще худшем свете. Свои ошибки надо уметь признавать и чем быстрее — тем лучше. Меньше потом говен разгребать.

<< Previous Day 2014/05/09
[Calendar]
Next Day >>
Сайт-заглушка   About LiveJournal.com