Полная версия Тех. поддержка Горячее Лучшее Новое Сообщества
Войти
Ностальгия Тесты Солянка Авто Демотиваторы Фото Открытки Анекдоты Видео Гифки Антифишки Девушки Кино Футбол Истории Солянка для майдана Ад'ок Еда Кубики Военное Книги Спорт Наука Игры Путешествия Лица проекта Юмор Селфи для фишек Факты FAQ Животные Закрыли доступ? Предложения проекту Реклама на фишках

А вот кто оплачивал покупку билета по банковской карте?

joe_black007
09 мая 2014 22:13
Пока я с друзьями катался по горам Кавказа, почти завершилась история с утечкой данных банковских карт при покупке билета на сайте РЖД.
Мне кажется, что этот случай достоин того, чтобы его преподавали на курсах пиар-специалистов как пример, как не надо делать. Вообще, на мой взгляд, первое, чему должны учится сотрудники пиар-служб — что делать, если случился пипец, и умению признавать свои ошибки... Подсказываю, молчать и нести оправдательную ахинею — неправильный ответ.

Напомню, что история началась 7 апреля, когда сотрудники The OpenSSL Project выпустили бюллетень безопасности, в котором сообщается о критической уязвимости в популярной криптографической библиотеке OpenSSL. На Хабрахабре все подробно расписано и желающие могут самостоятельно ознакомиться.

Уже 12 апреля на Хабре появился новый пост про он-лайн покупку в одной российской интернет-компании. Уязвимость все еще на месте, хотя с момента обнаружения прошло уже 5 (ПЯТЬ) дней.

А 16 апреля появился апдейт предыдущего поста: «данная уязвимость была обнаружена в платежном шлюзе банка ВТБ24, который использовался, в частности, на сайте РЖД. Никакого отношения к сайту sos-rzd.com и его авторам я не имею. Рекомендую всем, кто совершал покупки через него в период с 7 по 14 апреля, перевыпустить карты».

Еще раньше появился сайт https://sos-rzd.com/ на котором можно проверить карты и на котором утверждается, что утекли данные по 200 000 картам. Несмотря на полезность сайта, чтобы проверить что там с твоей карточкой, мне лично было бы стремно вводить на нем даже не полный номер своей карты. Как говориться, просто нет, на всякий случай. Но, для таких параноиков, как я можно скачать текстовый файл с номерами карт, которые засветились 14 апреля в операциях. А если вы в эти дни (с 7 по 15 апреля) покупали железнодорожные билеты, то лучше свою карточку перевыпустить. Мало ли.

Тут-то все и забурлило...

Новости и статья посыпались с экранов мониторов. Даже если статьи где-то друг-другу противоречат, то везде цитируют пресс-службу банка ВТБ, которая утверждает, что утечки не было. И по сути утверждает она это почти целый месяц! Все хорошо!

«Пресс-служба ВТБ24 опровергает факт утечки информации. «Данная информация неверна, это фейк, — сказал представитель пресс-службы кредитной организации. — Никаких атак на платежный шлюз, через который проходит покупка билетов на сайте www.rzd.ru , не было. Шлюз защищен последней версией стандарта безопасности данных платежных карт, и всем клиентам, совершающим транзакции через него, гарантируется абсолютная безопасность платежей». Источник в банке считает, что сайт был создан для того, чтобы его посетители оставляли на нем данные своих карт.

Представитель пресс-службы РЖД также не подтверждает утечку информации. «Мы крайне не рекомендуем вводить номера своих карт на сайте sos-rzd.com», — сказал он, уточнив, что на сайте РЖД не хранятся данные пользователей карт.»

А седьмого мая, т.е. позавчера, внезапно проснулись другие банки, которые начали массовые блокировки карт и их перевыпуск. Спрашивается, чего раньше делали-то? На Форбсе традиционно весьма хорошая статья на тему карт и жд.

Позавчера вечером на сайте РЖД появился пресс-релиз в котором сказано: «В связи с появлением в СМИ публикаций, касающихся работы сайта компании, пресс-служба ОАО "РЖД" опровергает информацию о том, что в период с 7 по 14 апреля сайт компании подвергался хакерским атакам.

Утечки персональных данных платежных карт клиентов с сайта ОАО "РЖД" быть не могло, так как на сайте ОАО "РЖД" такая информация не вводится и не хранится: при покупке билетов после выбора места пользователь переходит на платежный шлюз по защищенному соединению. Работу платежной страницы для сайта ОАО "РЖД" обеспечивает Группа ВТБ».

Пресс-служба ВТБ в лучших традициях криворуких специалистов все еще продолжает молчать и отнекиваться. В новостях пресс-службы нет ни слова о каких либо проблемах, хотя такая информация, касающаяся безопасности платежей, должна быть написана большими красными буквами на первой странице.

В общем, что мы имеем в итоге? Утечка данных — таки, похоже, была. Судя по всему, где-то в ночь с 14 на 15 апреля дырку на платежном шлюзе ВТБ наконец-то залатали. Не очень понятно, зачем это отрицать, порождая различные слухи, предположения и непонятные телодвижения от других банков.

Позиция ВТБ выглядит крайне странно. РЖД платит банку-эквайеру за безопасность операций на сайте (фактически, отдает это дело на аутсорс). В чем смысл сидеть и молчать, и подвергать даже риску не только клиентов, но и репутацию своих партнеров?

Так что теперь на лекциях по пиару можно рассказывать еще один случай, как пиар-службе не надо себя вести в случае косяков. В наше время скрыть такой провал невозможно, а своими действиями пресс-служба ВТБ просто выставила свой банк в еще худшем свете. Свои ошибки надо уметь признавать и чем быстрее — тем лучше. Меньше потом говен разгребать.

Источник: russos.livejournal.com

Канал Fishki.net в Telegram

Понравился пост? Поддержи Фишки, нажми:
571
3
8
8
А что вы думаете об этом?
Показать 3 комментария
Самые фишки на Фишках