А вот кто оплачивал покупку билета по банковской карте?
Пока я с друзьями катался по горам Кавказа, почти завершилась история с утечкой данных банковских карт при покупке билета на сайте РЖД.
Мне кажется, что этот случай достоин того, чтобы его преподавали на курсах пиар-специалистов как пример, как не надо делать. Вообще, на мой взгляд, первое, чему должны учится сотрудники пиар-служб - что делать, если случился пипец, и умению признавать свои ошибки... Подсказываю, молчать и нести оправдательную ахинею - неправильный ответ.
Напомню, что история началась 7 апреля, когда сотрудники The OpenSSL Project выпустили бюллетень безопасности, в котором сообщается о критической уязвимости в популярной криптографической библиотеке OpenSSL. На Хабрахабре все подробно расписано и желающие могут самостоятельно ознакомиться.
Уже 12 апреля на Хабре появился новый пост про он-лайн покупку в одной российской интернет-компании. Уязвимость все еще на месте, хотя с момента обнаружения прошло уже 5 (ПЯТЬ) дней.
А 16 апреля появился апдейт предыдущего поста: «данная уязвимость была обнаружена в платежном шлюзе банка ВТБ24, который использовался, в частности, на сайте РЖД. Никакого отношения к сайту sos-rzd.com и его авторам я не имею. Рекомендую всем, кто совершал покупки через него в период с 7 по 14 апреля, перевыпустить карты».
Еще раньше появился сайт https://sos-rzd.com/ на котором можно проверить карты и на котором утверждается, что утекли данные по 200 000 картам. Несмотря на полезность сайта, чтобы проверить что там с твоей карточкой, мне лично было бы стремно вводить на нем даже не полный номер своей карты. Как говориться, просто нет, на всякий случай. Но, для таких параноиков, как я можно скачать текстовый файл с номерами карт, которые засветились 14 апреля в операциях. А если вы в эти дни (с 7 по 15 апреля) покупали железнодорожные билеты, то лучше свою карточку перевыпустить. Мало ли.
Тут-то все и забурлило...
Новости и статья посыпались с экранов мониторов. Например вот, вот или вот. Даже если статьи где-то друг-другу противоречат, то везде цитируют пресс-службу банка ВТБ, которая утверждает, что утечки не было. И по сути утверждает она это почти целый месяц! Все хорошо!
«Пресс-служба ВТБ24 опровергает факт утечки информации. «Данная информация неверна, это фейк, - сказал представитель пресс-службы кредитной организации. - Никаких атак на платежный шлюз, через который проходит покупка билетов на сайте www.rzd.ru , не было. Шлюз защищен последней версией стандарта безопасности данных платежных карт, и всем клиентам, совершающим транзакции через него, гарантируется абсолютная безопасность платежей». Источник в банке считает, что сайт был создан для того, чтобы его посетители оставляли на нем данные своих карт.
Представитель пресс-службы РЖД также не подтверждает утечку информации. «Мы крайне не рекомендуем вводить номера своих карт на сайте sos-rzd.com», - сказал он, уточнив, что на сайте РЖД не хранятся данные пользователей карт.»
А седьмого мая, т.е. позавчера, внезапно проснулись другие банки, которые начали массовые блокировки карт и их перевыпуск. Спрашивается, чего раньше делали-то? На Форбсе традиционно весьма хорошая статья на тему карт и жд.
Позавчера вечером на сайте РЖД появился пресс-релиз в котором сказано: «В связи с появлением в СМИ публикаций, касающихся работы сайта компании, пресс-служба ОАО "РЖД" опровергает информацию о том, что в период с 7 по 14 апреля сайт компании подвергался хакерским атакам.
Утечки персональных данных платежных карт клиентов с сайта ОАО "РЖД" быть не могло, так как на сайте ОАО "РЖД" такая информация не вводится и не хранится: при покупке билетов после выбора места пользователь переходит на платежный шлюз по защищенному соединению. Работу платежной страницы для сайта ОАО "РЖД" обеспечивает Группа ВТБ».
Пресс-служба ВТБ в лучших традициях криворуких специалистов все еще продолжает молчать и отнекиваться. В новостях пресс-службы нет ни слова о каких либо проблемах, хотя такая информация, касающаяся безопасности платежей, должна быть написана большими красными буквами на первой странице.
В общем, что мы имеем в итоге? Утечка данных - таки, похоже, была. Судя по всему, где-то в ночь с 14 на 15 апреля дырку на платежном шлюзе ВТБ наконец-то залатали. Не очень понятно, зачем это отрицать, порождая различные слухи, предположения и непонятные телодвижения от других банков.
Позиция ВТБ выглядит крайне странно. РЖД платит банку-эквайеру за безопасность операций на сайте (фактически, отдает это дело на аутсорс). В чем смысл сидеть и молчать, и подвергать даже риску не только клиентов, но и репутацию своих партнеров?
Так что теперь на лекциях по пиару можно рассказывать еще один случай, как пиар-службе не надо себя вести в случае косяков. В наше время скрыть такой провал невозможно, а своими действиями пресс-служба ВТБ просто выставила свой банк в еще худшем свете. Свои ошибки надо уметь признавать и чем быстрее - тем лучше. Меньше потом говен разгребать.
Мне кажется, что этот случай достоин того, чтобы его преподавали на курсах пиар-специалистов как пример, как не надо делать. Вообще, на мой взгляд, первое, чему должны учится сотрудники пиар-служб - что делать, если случился пипец, и умению признавать свои ошибки... Подсказываю, молчать и нести оправдательную ахинею - неправильный ответ.
Напомню, что история началась 7 апреля, когда сотрудники The OpenSSL Project выпустили бюллетень безопасности, в котором сообщается о критической уязвимости в популярной криптографической библиотеке OpenSSL. На Хабрахабре все подробно расписано и желающие могут самостоятельно ознакомиться.
Уже 12 апреля на Хабре появился новый пост про он-лайн покупку в одной российской интернет-компании. Уязвимость все еще на месте, хотя с момента обнаружения прошло уже 5 (ПЯТЬ) дней.
А 16 апреля появился апдейт предыдущего поста: «данная уязвимость была обнаружена в платежном шлюзе банка ВТБ24, который использовался, в частности, на сайте РЖД. Никакого отношения к сайту sos-rzd.com и его авторам я не имею. Рекомендую всем, кто совершал покупки через него в период с 7 по 14 апреля, перевыпустить карты».
Еще раньше появился сайт https://sos-rzd.com/ на котором можно проверить карты и на котором утверждается, что утекли данные по 200 000 картам. Несмотря на полезность сайта, чтобы проверить что там с твоей карточкой, мне лично было бы стремно вводить на нем даже не полный номер своей карты. Как говориться, просто нет, на всякий случай. Но, для таких параноиков, как я можно скачать текстовый файл с номерами карт, которые засветились 14 апреля в операциях. А если вы в эти дни (с 7 по 15 апреля) покупали железнодорожные билеты, то лучше свою карточку перевыпустить. Мало ли.
Тут-то все и забурлило...
Новости и статья посыпались с экранов мониторов. Например вот, вот или вот. Даже если статьи где-то друг-другу противоречат, то везде цитируют пресс-службу банка ВТБ, которая утверждает, что утечки не было. И по сути утверждает она это почти целый месяц! Все хорошо!
«Пресс-служба ВТБ24 опровергает факт утечки информации. «Данная информация неверна, это фейк, - сказал представитель пресс-службы кредитной организации. - Никаких атак на платежный шлюз, через который проходит покупка билетов на сайте www.rzd.ru , не было. Шлюз защищен последней версией стандарта безопасности данных платежных карт, и всем клиентам, совершающим транзакции через него, гарантируется абсолютная безопасность платежей». Источник в банке считает, что сайт был создан для того, чтобы его посетители оставляли на нем данные своих карт.
Представитель пресс-службы РЖД также не подтверждает утечку информации. «Мы крайне не рекомендуем вводить номера своих карт на сайте sos-rzd.com», - сказал он, уточнив, что на сайте РЖД не хранятся данные пользователей карт.»
А седьмого мая, т.е. позавчера, внезапно проснулись другие банки, которые начали массовые блокировки карт и их перевыпуск. Спрашивается, чего раньше делали-то? На Форбсе традиционно весьма хорошая статья на тему карт и жд.
Позавчера вечером на сайте РЖД появился пресс-релиз в котором сказано: «В связи с появлением в СМИ публикаций, касающихся работы сайта компании, пресс-служба ОАО "РЖД" опровергает информацию о том, что в период с 7 по 14 апреля сайт компании подвергался хакерским атакам.
Утечки персональных данных платежных карт клиентов с сайта ОАО "РЖД" быть не могло, так как на сайте ОАО "РЖД" такая информация не вводится и не хранится: при покупке билетов после выбора места пользователь переходит на платежный шлюз по защищенному соединению. Работу платежной страницы для сайта ОАО "РЖД" обеспечивает Группа ВТБ».
Пресс-служба ВТБ в лучших традициях криворуких специалистов все еще продолжает молчать и отнекиваться. В новостях пресс-службы нет ни слова о каких либо проблемах, хотя такая информация, касающаяся безопасности платежей, должна быть написана большими красными буквами на первой странице.
В общем, что мы имеем в итоге? Утечка данных - таки, похоже, была. Судя по всему, где-то в ночь с 14 на 15 апреля дырку на платежном шлюзе ВТБ наконец-то залатали. Не очень понятно, зачем это отрицать, порождая различные слухи, предположения и непонятные телодвижения от других банков.
Позиция ВТБ выглядит крайне странно. РЖД платит банку-эквайеру за безопасность операций на сайте (фактически, отдает это дело на аутсорс). В чем смысл сидеть и молчать, и подвергать даже риску не только клиентов, но и репутацию своих партнеров?
Так что теперь на лекциях по пиару можно рассказывать еще один случай, как пиар-службе не надо себя вести в случае косяков. В наше время скрыть такой провал невозможно, а своими действиями пресс-служба ВТБ просто выставила свой банк в еще худшем свете. Свои ошибки надо уметь признавать и чем быстрее - тем лучше. Меньше потом говен разгребать.