В Сети появилась информация о том, что с сайта РЖД утекли данные о банковских картах.
Один из блогеров, создавших сайт https://sos-rzd.com/, заявил о том, что обнаружил на сайте РЖД уязвимость, позволявшую в течение недели скачивать данные кобрендинговых банковских карт, которыми их владельцы расплачивались за услуги российской железнодорожной компании. Подобные кобрендинговые карты в партнерстве с РЖД выпускает в настоящее время банк ВТБ 24.
«Дыра» в безопасности сайта, как утверждает блогер, связана с уязвимостью в криптографической библиотеке OpenSSL. Информация об уязвимости появилась в Сети 7 апреля, а на сайте РЖД «дыру», по данным блогера, закрыли лишь 14 числа того же месяца.
В итоге, по мнению экспертов, опасности могли подвергнуться порядка 200 тысяч кобрендинговых карт банка ВТБ 24 и РЖД.
Для подтверждения своих слов, блогер выложил на сайт https://sos-rzd.com/ данные о 10 тысячах банковских карт, информацию о которых собрал только за один день - 14 апреля. Данные могут увидеть лишь сами владельцы, после ввода неполного номера своей банковской карты. У IT-Weekly есть информация о реальных людях, которые обнаружили данные своих карт (полный номер, СVV-код, данные о владельце) в упомянутом «черном» списке.
Банк ВТБ 24 официально пока не подтверждает информацию об уязвимости и о скомпрометированных картах.
Такая ситуация наглядно иллюстрирует положение дел с хранением персональных данных – в России сегодня нет эффективного механизма, обязывающего организации уведомлять клиентов о произошедшей утечке данных и о потенциальной опасности подобной утечки (когда данные могли быть скомпрометированы, но подтверждения тому, что они попали в руки злоумышленников нет).
Можно также отметить, что финансовые организации не выказывают особой признательности тем, кто пытается оказать им помощь, отправляя данные о скомпрометированных клиентах. Об этом в свое время говорил Илья Сачков, генеральный директор компании Group-IB (российская частная структура, занимающаяся расследованием киберпреступлений в финансовой сфере). Еще в далеком 2010 году Group-IB бесплатно предлагала банкам данные о скомпрометированных клиентах, пользующихся системой Интернет-банкинга. Сачков рассказывал тогда, что помощь встретили скорее негативно, чем с благодарностью. Об этом же свидетельствует запись в блоге самого Сачкова с характерным заголовком "Наболело".
Стимулировать организации, которые хранят персональные данные, к тому, чтобы вовремя оповещать клиентов о произошедших реальных или потенциальных утечках, по идее, должны регуляторы. Сегодня за утечки персональных данных организациям грозят определенные штрафные санкции. При этом сумму штрафа нельзя назвать существенной не то, что для крупного, а даже для небольшого банка. Даже после увеличения, запланированного на вторую половину 2014 года, сумма штрафа составит от 100 тысяч рублей до 200 тысяч. Подчеркнем, что речь идет о штрафе в случае зафиксированного инцидента.
