[Обновлено на 14:40] База клиентов сайта «РЖД Бонус» утекла в сеть. В ОАО «РЖД» пояснили, что это была попытка взлома / Хабр
6 ноября 2020 года основатель сервиса поиска утечек и мониторинга даркнета «DLBI» Ашот Оганесян сообщил, что база данных сайта «РЖД Бонус» попала в открытый доступ.
Первым информацию об этой утечке опубликовал Telegram-канал DC8044 F33d.
Оганесян в Telegram-канале «Утечки информации» пояснил, что резервная копия (бекап) MySQL-дампа с базой данных сайта «РЖД Бонус» (rzd-bonus.ru) размером около 2.4 ГБ по какой-то непонятной причине была выложена администратором в корне сайта. Оказалось, что как минимум несколько человек успели ее скачать до того момента, как сайт стал недоступен. Вдобавок там же были размещены и доступны для сохранения: bash-скрипт, в котором был прописан путь к дампу базы данных и находился логин и пароль пользователя, а также приватный ключ RSA.
Сообщение о находке в Telegram-канале DC8044 F33d.
Оганесян в своей публикации на Facebook напомнил, что скачивать на свой ПК и распространять в сети Интернет подобные архивы нежелательно.
При регистрации в программе пользователи должны были предоставить свои персональные данные, включая ФИО, дату рождения, номер телефона, город, паспортные данные, а также электронную почту.
Анализ части данных показал, что в утекшем дампе есть таблица «b_user», в которой содержатся данные 1 360 836 зарегистрированных пользователей. Там есть логины и хешированные пароли (сайт на Битриксе, поэтому там обычный MD5 с солью), адреса электронной почты, ID-пользователей, даты регистрации и последнего входа в систему.
Пример утекшей базы данных, ФИО пустые, но, возможно, что в других строках они есть полные.
Огромный кусок дампа занимает детальный лог доступа пользователей к сайту («b_event_log») с айпишниками и прочими данными — User-Agent и версия ОС, ID-пользователя, дата доступа (с 07.
08.2020 по 08.10.2020).
Обновление публикации на 14:40. По информации РИА Новости: «РЖД зафиксировали попытку взлома „РЖД Бонус“, система безопасности предотвратила доступ к персональным данным участников, сообщили в компании. В целях безопасности всем пользователям будет предложено сменить пароль при входе на сайт».
«Злоумышленникам удалось получить доступ только к служебному файлу, содержащему в зашифрованном виде адреса электронной почты пользователей, а система безопасности предотвратила доступ к персональным данным участников. Инцидент не угрожает сохранности личных данных пользователей, а также баллов на счетах клиентов,» — уточнили в ОАО «РЖД» для РИА Новости.
В компании пояснили, что «после атаки были проведены защитные мероприятия, работоспособность программы лояльности будет восстановлена к вечеру 7 ноября. В настоящий момент времени ведется служебное расследование, по результатом которого будет принято решение о передаче материалов в правоохранительные органы».
Примечательно, что два происшествия с утечкой данных ОАО «РЖД» и получением доступа во внутренние сети и сервисы компании обсуждались на Хабре в прошлом году.
В конце августа 2019 года неизвестный пользователь опубликовал в свободном доступе персональные данные 703 тыс. человек, которые предположительно являлись сотрудниками ОАО «РЖД», причем в самом ОАО «РДЖ» на тот момент работало 732 тыс. сотрудников. Среди свободно доступных данных по сотрудникам, включая руководство компании, там была представлена такая информация: ФИО, дата рождения, адрес, номер СНИЛС, должность, фотография, телефон, адрес электронной почты (иногда на доменах NRR.RZD, DZV.ORG.RZD, ORW.RZD и других внутренних доменах ОАО «РЖД»). На сайте с выложенной базой была надпись: «Спасибо ОАО «РЖД» за предоставленную информацию, путем бережного обращения с персональными данными своих сотрудников».
В декабре 2019 года следственными органами удалось найти злоумышленника, который незаконно скопировал и выложил в интернет данные сотен тысяч сотрудников ОАО «РЖД», в том числе руководства компании.
Им оказался двадцатишестилетний житель Краснодарского края. Оказалось, что логин и пароль для входа на корпоративный сайт ОАО «РЖД» случайно увидел на бумажке в паспорте у знакомого.
В ноябре 2019 года специалисты ОАО «РЖД» проводили другое технологическое расследование, касающееся факта взлома (в компании именно так описана произошедшая ситуация) системы беспроводного доступа в сеть высокоскоростного поезда «Сапсан».
15 ноября 2019 года пользователь keklick1337 в своей публикации «Самый беззащитный — это Сапсан» рассказал, что он смог за двадцать минут получить доступ к внутренним сервисам мультимедийного портала «Сапсана», нашел там локально хранящиеся некоторые данные о пассажирах (текущего и прошлых рейсов), а так же обнаружил в этой системе «VPN в сеть РЖД» и написал: «РЖД, поправьте все, через пару месяцев снова проверю».
А уже 21 ноября 2019 года в ОАО «РЖД» сообщили, что в их сети нет критических уязвимостей, используя которые можно получить доступ к действительно важным данным или внутренним сервисам, а угрозы похищения персональных данных при взломе мультимедийной системы поезда «Сапсан» не существует.
Минутка заботы от НЛО
Этот материал мог вызвать противоречивые чувства, поэтому перед написанием комментария освежите в памяти кое-что важное:
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||
УРААА Товарищи! Наконец-то с 1 июля ОАО «ФПК» (дочернее общество ОАО «РЖД») запускает программу лояльности для пассажиров поездов дальнего следования «РЖД Бонус», По мере накопления бонусные баллы можно будет обменивать на премиальные билеты. Подробная информация под катом: Пассажирам-участникам программы лояльности будут начисляться бонусные баллы за поездки, совершенные в поездах/вагонах формирования ОАО «ФПК». Количество начисленных баллов зависит от типа вагона, дальности поездки и статуса участия. В программе участвуют пассажиры вагонов «Плацкарт», «Купе», «СВ» и «Мягкий». Расстояния поделены на пять зон: до 500 км, до 1250 км, до 2500 км, до 5000 км и до 10000 км. Так, например, при поездке на расстояние до 500 км в плацкартном вагоне пассажиру будет начислено 100 баллов, при поездке в вагоне «Мягкий» – 1000; при поездке на расстояние от 5 до 10 тыс. километров в плацкартном вагоне – 1 000 баллов, в вагоне «Люкс» – 10 тыс. баллов. Накапливая баллы, участник программы получает возможность оформлять премиальные билеты в вагонах «Купе», «СВ» или «Мягкий». Для участия в программе лояльности пассажиру необходимо пройти процедуру регистрации на сайте www.rzd-bonus.ru и заполнить анкету, после чего ему присваивается уникальный идентификационный номер. Затем по электронной почте ему высылается временная карта участника программы (карту можно также распечатать через «Личный кабинет» на сайте программы). После совершения трех поездок в поездах/вагонах формирования ОАО «ФПК» участнику программы по почте направляется «базовая» пластиковая карта, которая является бессрочной. При этом любая карта («временная», «базовая» или «золотая»), выданная в рамках программы лояльности, выполняет единственную функцию – носителя индивидуального номера участника, который можно будет как «считать» электронным способом, так и ввести вручную. На момент запуска в программе предусмотрено два статуса участника: «Базовый» и «Золотой» («Элитный»). Получить статус «Элитный» можно двумя способами – набрав 50 тыс. баллов или совершив 50 поездок классом не ниже купе на любое расстояние в течение года. Для владельцев данной карты не действуют ограничения на получение премиальных билетов в периоды повышенного спроса, а также начисляются дополнительные баллы за совершенные поездки. Дальнейшее развитие программы предусматривает привлечение партнеров (банки и торгово-сервисные компании) и расширение списка привилегий и полезных сервисов для всех уровней участия. Подробнее с условиями участия в программе лояльности можно ознакомиться на сайте www.rzd-bonus.ru. Баллы в программе начисляются за оплаченные и фактические совершенные участником поездки в поездах/вагонах формирования ФПК согласно таблице набора баллов.
Таблица стоимости премиальной поездки
Срок действия баллов составляет два года от даты последней поездки или транзакции на счёте. |
По мере накопления бонусные баллы можно будет обменивать на премиальные билеты.
Впоследствии список привилегий обладателя карты будет расширен.