РЖД дали хакерам бонус. Детские ошибки с взрослыми последствиями: эксперты vgudok.com об очередной утечке данных пассажиров

Опубликовано 16 ноября 2020

Персональные данные более чем 1,36 млн пользователей программы лояльности «РЖД Бонус» стали достоянием хакеров, взломавших сайт, в котором находилась информация клиентов. Сотрудники сайта, где были размещены данные, сами же и «завесили» их в свободном доступе в интернет. Об этом сообщил основатель сервиса поиска утечек и мониторинга даркнета «DLBI» Ашот Оганесян в своем Telegram-канале «Утечки информации». По его информации, первым сведения об этой утечке опубликовал Telegram-канал DC8044 F33d. Атака на сайт или же просто его использование хакерами (или одним хакером), в связи с тем, что он не был достаточно защищён, произошла ещё 6 ноября.

«Зафиксирована попытка взлома программы лояльности «РЖД Бонус», в ходе которой злоумышленнику удалось получить доступ только к служебному файлу, содержащему в зашифрованном виде адреса электронной почты пользователей. Система безопасности предотвратила доступ к персональным данным участников. Инцидент не угрожает сохранности личных данных пользователей, а также баллов на счетах клиентов», — сообщили в РЖД. 

В холдинге сразу же заявили, что уже на следующий день все проблемы будут разрешены, специалисты проведут защитные мероприятия.

«В целях безопасности всем пользователям будет предложено сменить пароль при входе на сайт», — добавили в госкомпании.

«Не скачав эту базу, сложно проверить её содержимое, и хочется верить в правдивость комментария РЖД, но допускаю, что неосмотрительный сотрудник мог сделать бекап базы в корень сайта, а боты хакеров, автоматически проверяя разные сайты на дыры, могли его утащить, — рассказал vgudok.com на условиях анонимности специалист по кибербезопасности Алексей. — Обеспечение работы сайта в госкомпаниях зачастую ложится на плечи сисадмина, который хорош в установке и обслуживании серверов, но ничего не понимает в CMS, веб-программировании и других веб-инструментах. Его задача — чтобы сайт открывался, а должное внимание к внутренней настройке уже не его забота, хотя в тот же Bitrix по умолчанию встроены рекомендации по обеспечению дополнительной безопасности и система мониторинга угроз.


Можно пофантазировать, чем грозит утечка. Как минимум: спамеры обогатились огромной актуальной базой email-адресов — жди мошенников в почте.

Хуже, если хакерам стала известна соль для MD5 — тогда у них будет шанс подобрать часть паролей брут-форсом, а если учесть, что у некоторых пользователей одинаковые пароли везде, то и получить доступ к почте и прочим аккаунтам бедолаг. Маловероятно, что кто-то всерьёз займётся брут-форсом такой объёмной базы, так как это требует больших вычислительных мощностей, терпения и везения, но простому пользователю для подстраховки всё же стоит изменить пароль в «РЖД Бонус». Общие рекомендации к новому паролю стандартны: он должен быть уникальным, абстрактным, максимально длинным и содержать спецсимволы.

Есть у меня рекомендации и для РЖД: не отдавайте менеджмент веб-сайтов на аутсорс или штатным сисадминам, вместо этого наберите команду профессионалов, чьей основной задачей будет ведение веб-проектов. Иначе детских ошибок с взрослыми последствиями не избежать. В IT слишком много специализаций и под каждую нужен свой профи».

Утечка информации клиентов «РЖД Бонус» произошла из-за того, что сотрудники компании оставили незащищёнными данные более чем 1,3 млн пользователей прямо в корневом каталоге сервера этой программы, и он получил очень широкое распространение в интернете.

Но есть и другие причины такой оплошности, рассказал vgudok.com управляющий партнёр коммуникационной компании B2Chain Денис Терехов.

«Эта тема, скорее всего, интересует профессиональных айтишников и хакеров. Полученная информация носит служебно-технический характер, и там нет персональных данных в том виде, в котором мы это понимаем, то есть паспортных данных, адресов электронной почты. Есть только что-то зашифрованное. Я готов поверить официальному комментарию РЖД. Действительно, это прошла просто «тренировка» хакеров. Существует неформальное соревнование между хакерами, кто вскроет базу того или иного большого предприятия, банка, авиакомпании.


Здесь явно просматривается спортивный интерес в чистом виде.


Большинство пользователей «РЖД Бонус» вообще не узнают и не заметят, что подобная история произошла. Это постоянное соревнование среди хакеров. Кто-то проверяет систему на прочность, понятно, что уязвимость всегда находится. В данном случае некорректно было бы всё валить на РЖД. Если приводить аналогии, это как борьба с вирусами. Один вирус прорвался — придумали противоядие, антивирус, поставили заплатку. Следующий вирус ещё хитрее окажется, он в другом месте найдёт щель. Так что это такая бесконечная история», — считает эксперт.   

СПРАВКА. Утечка произошла 6 ноября 2020 г. около 15:00 по Москве. Файлы были неоднократно скачаны, прежде чем их удалили из корневого каталога, в котором они находились приблизительно до 19:00 того же дня.
Утекшая база данных программы «РЖД бонус» содержит информацию о более чем 1,36 млн её пользователей. В таблице «b_user» есть сведения об их логинах и хэшированных паролях (MD5). Вместе с этим присутствуют сведения о датах их регистрации в системе и последней авторизации в ней, плюс приведён адрес электронной почты, указанный при регистрации. В таблице также есть поля с ФИО, но многие клиенты их не заполнили.

В распоряжении у взломщиков также оказались IP-адреса устройств, с которых они подключались к системе, версия операционной системы и другое. Эта информация охватывает период с 7 августа по 8 октября 2020 года.

«Это халатность сотрудника РЖД, причём не исключено, что с умыслом, раз ключи лежат вместе с базой, — рассказал vgudok.com Chief Technology Officer крупной IT-компании Алексей Кондратьев. — Провал  сильнейший: сейчас можно прогнать типовые пароли и по их хэшам получить доступы к части клиентов «РЖД Бонус».

Холдинг остаётся одним из любимых объектов для хакерских атак. В августе 2019 года РЖД «проморгали» или упустили персональные данные более 700 тыс. своих сотрудников. В сети оказались их ФИО, даты рождения, номера СНИЛС, фотографии, телефоны, адреса прописки и многое другое. Позже выяснилось, что они были украдены в результате хакерской атаки, совершённой в июне 2019 г. жителем Краснодарского края. Его удалось вычислить в результате расследования, проведённого службой безопасности РЖД совместно с управлением «К» МВД России.

Ровно за год до этого специалист по поисковым системам компании Rush Agency Павел Медведев заявил, что персональные данные монополии, а также таких компаний, как Сбербанк, ВТБ, могут быть вскрыты и в любую минуту оказаться в руках злоумышленников. Vgudok.com писал об этом.

Ни для кого не секрет, что на Басманной уделяют большое внимание всему, что касается цифровизации, нано-технологий и т.д. Все видели красивые отчёты от IT-блока РЖД, посвящённые шагам в будущее, ежедневно овеществляемым монополией. НО одно остаётся неизменным: компьютерные просчёты сотрудников холдинга или подрядчиков. Из-за них на просторы Всемирной сети то и дело улетают данные то работников, то пассажиров.

Хорошо, что пока что зачастую имеют место просто хакерские тренировки, то есть киберпреступники «ломают» систему из спортивного интереса, без ощутимых последствий для компании и клиентов. Однако всё может измениться в одночасье с очередным запущенным «червём». Не пора ли цифровым топ-менеджерам прислушаться к словам нашего первого спикера и создать, пусть и неформальный, но сильный спецотряд по борьбе с киберугрозами? Пусть даже из тех же вчерашних хакеров.

Транспортные новости российских мегаполисов и мировых столиц ищите в нашем разделе ГОРОД, лучший фото- и видеоконтент на нашей странице в Instagram

Максим Ярошевский