Произошла утечка данных клиентов РЖД из-за уязвимости Heartbleed

Александр Панасенко 16 Апреля 2014 - 11:55

...

Неизвестные хакеры на специальном сайте сообщают, что в течение недели c сайта «РЖД» из-за уязвимости Heartbleed злоумышленники имели возможность сливать данные банковских карт всех, кто оплачивал билеты на портале.

На сайте говорится, что «РЖД» и «ВТБ24» позволили скомпрометировать более 200 тысяч карт. В качестве подтверждения этой информации в открытый доступ выложены данные по картам, через которые оплачивались билеты 14 апреля. В этот день в открытый доступ попала информация примерно о 10 тысячах карт и это «лишь малая часть того, что могли получить злоумышленники».

Уязвимость на сайте «РЖД» была устранена только вечером 14 апреля, спустя неделю после обнаружения уязвимости Heartbleed, сообщает siliconrus.com.

Создатели сайта рекомендуют людям, чьи данные были скомпрометированы, перевыпустить карты.

Тот, кто хоть чуть-чуть переживает за свои или пользовательские данные, менял пароли и исправлял уязвимые системы, так быстро, как только мог. Многие компании делали это в первые часы, а то и минуты, после публичного репорта о баге. Но что делает «РЖД» и «ВТБ24»? Они целую неделю позволяют злоумышленникам сливать данные всех банковских карт, которыми люди расплачивались за билет на их сайте.

Неизвестные обратились к «РЖД» и «ВТБ24» с требованием назвать точное количество карт, прошедших за неделю через «злосчастный процессинг» и выложить публичный список карт и их масок, чтобы пользователи и банки могли их заблокировать.

Мы не хотим, чтобы из-за халатности таких крупных организаций, страдал простой люд. Всем мир!

Редакция ЦП связалась с создателями сайта и задала им несколько вопросов.

Как вы сумели получить доступ к информации о картах?

Доступ к информации был получен через уязвимость в OpenSSL (Heartbleed).

Зачем вы это сделали?

В учебных целях. Как показывает практика, на такие вещи обычно закрывают глаза, в данной истории так не получится. Думаю вы понимаете, какие масштабы проблемы?

Была ли какая-то конкретная цель?

Обезопасить простой народ от кражи денег с их карт. Люди не должны страдать от раздолбайства крупных компаний. Работа с персональной информацией — это не игрушки. Основная цель — заблокировать все карты, которые прошли через этот процессинг за 7 дней.

Почему вы прямо не связались с РЖД, а решили запустить целый сайт?

РЖД и их мерчант (ВТБ24) неоднократно получали от нас сообщения о том, что им срочно нужно обновить OpenSSL. И не только от нас. Но реакции, как и ответов, не поступало. Сайт был сделан для того, чтобы пользователи и банки могли заблокировать скомпрометированные карты.

И еще хотелось бы, чтобы люди понимали, что кардинг может быть и хорошим тоже. Ведь все эти данные можно было продать, или хуже — использовать. Мы против работы по всему постсоветскому пространству.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 25 Апреля 2025 - 09:42

macOS iOS Эксплойты Уязвимости программ Домашние пользователи Корпорации Apple

Новая дыра в macOS: libAppleArchive позволяет обойти Gatekeeper

Apple снова попала в новости из-за уязвимости — на этот раз в своей библиотеке libAppleArchive, которая используется для работы с архивами .aar. Исследователь Снулли Кеффабер нашёл критическую брешь (CVE-2024-27876, CVSS 8.1), позволяющую не только записывать файлы в произвольные места на диске, но и обходить защиту Gatekeeper.

Всё началось с того, что Кеффабер написал собственный парсер — libNeoAppleArchive — чтобы изучить поведение Apple Archive на Linux.

Работая с логикой обработки симлинков, он заметил странность: архив можно было распаковать так, что один из файлов на выходе оказывался… симлинком в любую другую директорию на системе.

Дальнейшие эксперименты показали, что во время распаковки возникает «состояние гонки» (race condition). Библиотека сначала проверяет, существует ли нужная папка, и только потом пытается её создать.

Если в этот момент подложить симлинк на другую директорию, libAppleArchive всё равно будет считать, что каталог создан, и продолжит писать туда файлы. В результате данные попадут по адресу, на который указывает симлинк — полностью под контролем атакующего.

Повторив структуру из симлинков и файлов в архиве несколько раз, Кеффаберу удалось сильно повысить процент успеха атаки.

На этом он не остановился: следующей целью стал обход Gatekeeper. Оказалось, что стандартная утилита Archive Utility сначала распаковывает файлы во временную директорию, а только потом вешает на них карантинные метки. Если с помощью уязвимости заставить libAppleArchive распаковать файл вне этой директории, он обойдёт карантин и сможет запускаться без предупреждений — что, конечно, опасно.

Уязвимость затрагивает не только macOS. libAppleArchive используется в WorkflowKit (Shortcuts), FlexMusicKit, ClipServices, а также в приложении «Файлы» на iOS, которое тоже умеет распаковывать .aar. Даже если включены проверки пути вроде pathIsValid(), гонка всё равно позволяет их обойти.

Кеффабер опубликовал PoC, продемонстрировав, что атака вполне реалистична, хотя и требует знания таких деталей, как переменная $TMPDIR.

Apple уже закрыла дыру в свежих апдейтах, так что срочно обновляйтесь — уязвимость серьёзная, а эксплойт уже в сети.