MMM
12:18 16-04-2014 Пилять

[изображение]

Надо было мне идти работать в информационную безопасность, наверное. Вот сейчас наша ИБ в лице ее руководителя делает рассылку по теме, которую я еще утром видел. Типа, на сайте РЖД похакали платежный шлюз, и если ваша карта есть в списке (ввести номер и узнать), то лучше ее заблокировать и перевыпустить. Проверка на откровенно левом сайте. А через полчаса опровержение со ссылками на ВТБ24, которому принадлежит якобы хакнутый шлюз, и пресс-службу РЖД, что у них все в шоколаде, просто мошенники выманивают реквизиты ваших карт. Я еще утром поржал над таким престарелым разводом, на который попались как дети некоторые новостные недоСМИ. Но вот когда на эту байду повелась наша служба информационной безопасности, стало грустно.

[изображение]

Комментарии:
Sheypa
13:03 16-04-2014
от нашей раз в месяц приходят письма про спам атаки в скайпе!
on-off
13:06 16-04-2014
"пока живут на свете дураки, обманом жить нам, стало быть, с руки"
а дураки, они в ИБ бывают. сам видел. в дополнение к дуракам в типа_больших_и_правильных_конторах прилагается весомый бюрократический аппарат, который помогает первым сделать одно из двух - похерить всю ИБ, либо закрутить гайки до полной невозможности работать.
Hashinger
13:52 16-04-2014
История довольно тухлая, плюс учитывая, что на платежном гейте сейчас самоподписанный сертификат от 15 числа.
Я свою карту перевыпустил. На всякий случай.
Вбивать карту не надо можно скачать там файлик со всеми картами которые сперли.
MMM
14:01 16-04-2014
Hashinger, то есть что-то все же было, но ВТБ и РЖД пытаются сделать хорошую мину?
Hashinger
14:17 16-04-2014
MMM
Думаю было. Дырка такая, что ничего не фиксируется. Heartbleed называется.
Тут даже меньше РЖД. Он то как раз не ведет никаких операций. Дело в ВТБ24
on-off
14:28 16-04-2014
анонимусы файл выложили, дабы свою карту можно было оффлайн поискать. хотя, тот раздел, где выложили, уже не отвечает. народ, видимо, ломится недуром.
Hashinger
14:46 16-04-2014
on-off
Ну вот карты находят. Я то как раз для жены покупал билеты в этом промежутке. Как-то ну его.
MMM
14:47 16-04-2014
Hashinger, про Heartbleed слышал, да.
on-off,
Пусть ломятся, я свои картонки проверять не буду. Даже если и была/есть дырка, то я последний раз этим сервисом в январе пользовался. Тогда об этой дырке практически никто не знал и поезд уже давно уехал (я имею ввиду не транспортное средство РЖД, а данные моей карты).
on-off
14:55 16-04-2014
Hashinger, самое забавное, что, если верить интернетам, ВТБ блокирует свои карты, найденные в списке. какой, однако, сервис. может, и перевыпустят бесплатно...
MMM, это всё понятно, каждый сам за себя решает. но с другой стороны, я вот теперь засомневался платить основной картой в тырнетах. дополнительную надо сделать с лимитом, который не жалко, если что.
MMM
15:04 16-04-2014
on-off, ВТБ будет все отрицать, да, но карты тупо перевыпустит. Им проще напрячь клиентов на поход в банк и послать нафиг их претензии по этому поводу, чем потенциально разбираться со случаями неправомерных списаний.
В моей прошлогодней, кажется, практике подобное было: в М-Видео утекла база картонных платежей, мой платеж по карте Альфы туда попал. Заблокировали и перевыпустили. И то же самое сделал Сбер (по информации знакомой с картой Сбера). Про остальные банки не знаю, они все всё делали тихо. Так что ВТБ вполне сейчас может поступить так же. А может и не только ВТБ.
MMM
15:06 16-04-2014
Так что для платежей в онлайне PayPal, господа, и только PayPal. Там, где это возможно, конечно.
on-off
15:10 16-04-2014
MMM, честно говоря, не подозревал, что слив карточных данных такое массовое явление. с учётом роста безанальных платежей, сдобренного всеохватывающим распиздяйством, оно настораживает. ну и национальная платёжная система какбэ...
on-off
15:13 16-04-2014
MMM, пайпалка, это для ебаев и прочих алиэкспрессов. а тут для онлайна остается только пластик, что подешевле к выпуску/перевыпуску, с зарезанным лимитом.
MMM
15:24 16-04-2014
on-off, да ладно, толку в этих сливах никакого. В кардинге за последние лет пять ничего нового не придумали. А может быть и за десять. Помнится, когда я еще интересовался этой темой в начале 2000-х, уже все тактики и технологии кардинга были расписаны и известны. Я тогда еще читал всякую шнягу типа журнала "Хакер" и сам клонировал карты.
Конечно, сейчас офлайновые карточные технологии шагают дальше (PayPass, читпованные карты и т.д.), но они защищают только в офлайне и не от воровства карточных реквизитов (то есть препятствия только для "белого пластика"). А вот в части онлайновых платежей все осталось на прежнем уровне.
Но я больше трясусь над авторизацией в PayPal и онлайн-банках, чем над данными своей карты. Потому как потенциальные потери от дискредитации доступа к счетам куда серьезнее карточных.
on-off
15:36 16-04-2014
MMM, в том-то и дело, что часто для того, чтобы дебетовать картсчёт достаточно знать номер, дату и свв карты. и поэтому факты сливов данных карт меня несколько беспокоит. а ещё больше беспокоит, что сливы происходят не только и столько из-за объективных технических аспектов, а по распиздяйству.
MMM
15:51 16-04-2014
on-off, тут есть две нюанс: если слив из офлайн источника, там нет CVV. А в онлайне я где попало CVV не свечу, только в исключительных случаях на проверенных сайтах надежных магазинов (для всего остального PayPal и/или проверочная авторизация VISA 3D-Secure или MasterCard SecureCode). То есть минимизирую риски слива необходимой и достаточной информации для покупки в онлайне имея только данные карты.
on-off
16:04 16-04-2014
MMM, ну понятно, что мы про онлайн. твой способ минимизации слива хорош(3дсекур вообще должно стать обязательным), но он, к сожалению, ведёт к ограничению своих возможностей купить что-то.