Спецпроекты

РЖД взломаны. В интернет утекли данные сотен тысяч пассажиров компании

Безопасность Стратегия безопасности Пользователю Интернет Веб-сервисы

РЖД допустили утечку информации о более чем 1,3 млн участников программы «РЖД бонус». Файл с базой данных сотрудники компании оставили прямо в корневом каталоге сервера этой программы, и он получил очень широкое распространение в интернете.

Новая утечка в РЖД

В свободном доступе в интернете оказалась база с персональными данными пользователей системы «РЖД бонус», принадлежащей компании РЖД. Об этом сообщил основатель сервиса поиска утечек и мониторинга даркнета «DLBI» Ашот Оганесян в своем Telegram-канале «Утечки информации». По его информации, первым сведения об этой утечке опубликовал Telegram-канал DC8044 F33d.

Ашот Оганесян рассказал CNews, что в Сеть попала резервная копия MySQL-дампа этой базы данных (БД). Объем слитого файла составил 2,4 ГБ, и изначально он был выложен администратором сайта «РЖД Бонус» прямо в корневом каталоге.

Вместе с самой базой были доступны для скачивания приватный ключ RSA и bash-скрипт с прописанным в нем путем к дампу БД и логином и паролем пользователя.

Зачем дамп БД был выложен в корневом каталоге сервиса, остается загадкой

Утечка произошла 6 ноября 2020 г. около 15:00 по Москве. Файлы были неоднократно скачаны прежде, чем их удалили из корневого каталога, в котором они находились приблизительно до 19:00 того же дня по Москве.

Что содержится в БД

Ашот Оганесян сообщил CNews, что в настоящее время БД получила широкое распространение в интернете – по его словам, она находится в свободном доступе на многих профильных форумах.

Несмотря небольшой объем, в БД содержится масса информации, не подлежащей распространению

Утекшая база данных программы «РЖД бонус» содержит информацию о более чем 1,36 млн ее пользователей. В таблице «b_user» есть сведения об их логинах и хэшированных паролях (MD5). Вместе с этим присутствуют сведения о датах их регистрации в системе и последней авторизации в ней, плюс приведен адрес электронной почты, указанный при регистрации. В таблице также есть поля с ФИО, но для многих пользователей они оставлены пустыми.

В дополнение к перечисленному слитый дамп БД содержит массу сведений о пользователях – к примеру, в нем есть IP-адреса устройств, с которых они подключались к системе, версия операционной системы и др. Эта информация охватывает период с 7 августа по 8 октября 2020 г.

Подлинность информации из базы данных частично подтверждена

Ашот Оганесян сказал CNews, что с большой долей вероятности эту базу можно считать резервной копией «рабочей» базы сайта.

Комментарий РЖД

Как сообщило РИА «Новости» в РЖД считают, что утечка БД программы «РЖД бонус» связана с попыткой взлома, обнаруженной специалистами компании. «6 ноября 2020 г. зафиксирована попытка взлома программы лояльности “РЖД бонус”, в ходе которой злоумышленнику удалось получить доступ только к служебному файлу, содержащему в зашифрованном виде адреса электронной почты пользователей. Система безопасности предотвратила доступ к персональным данным участников. Инцидент не угрожает сохранности личных данных пользователей, а также баллов на счетах клиентов», – заявили представители РЖД.

По их словам, после атаки специалисты провели «защитные мероприятия», не уточнив, что именно подразумевается под этим. Они добавили также, что «в настоящий момент времени ведется служебное расследование, по результатом которого будет принято решение о передаче материалов в правоохранительные органы», и уточнили, что работа программы «РЖД бонус» будет восстановлена к вечеру 7 ноября 2020 г. Между тем, по состоянию на 12:00 9 ноября 2020 г. по Москве сайт программы работал нестабильно и открывался в течение двух-трех минут в Chrome, Opera, Edge и Vivaldi, в том числе и через VPN.

Хакеры против РЖД

РЖД неоднократно оказывались в центре внимания хакеров. К примеру, в декабре 2019 г. CNews писал о присуждении многолетних сроков киберпреступникам, разработавшим гигантскую мошенническую схему с билетами на поезда. Хакеры успели «поработать» в Алтайском крае, Владимире, Москве и Московской области, а также в Новосибирске, Санкт-Петербурге и Уфе. В их преступной схеме, сами того не желая, участвовали организации, осуществляющие продажу электронных билетов – хакеры рассылали им письма с вредоносным ПО, и в случае его запуска на компьютерах сотрудников этих компаний получали доступ к аккаунтам их кассиров.

В личном кабинете кассира преступники вводили заведомо поддельную информацию о пассажирах в электронную квитанцию, после чего проводили платежи за счет самой организации. Следующим шагом было обналичивание билетов через сдачу билетов в кассы.

За два года своей деятельности преступная группировка сфабриковала свыше 5000 билетов, однако неизвестно, сколько их них хакеры успели обналичить. Итоговый размер их «заработка» за весь период деятельности превысил 17 млн руб.

В августе 2019 г. РЖД столкнулись с утечкой персональных данных более 700 тыс. своих сотрудников – в Сети оказались их ФИО, даты рождения, номера СНИЛС, фотографии, телефоны, адреса прописки и др. Позже выяснилось, что они были украдены в результате хакерской атаки, совершенной в июне 2019 г. жителем Краснодарского края. Его удалось вычислить в результате расследования, проведенного службой безопасности РЖД совместно с управлением «К» МВД России.

6 декабря 2019 г. следователи Московского межрегионального следственного управления на транспорте СК России предъявили краснодарцу обвинение в киберпреступлении. «Следствием установлено, что в июне 2019 г. молодой человек, используя для авторизации незаконно добытые учетные записи двух пользователей работников ОАО

“РЖД” и 96 уникальных IP-адресов, совершил неправомерный доступ к охраняемой законом информации, находящейся на внутренних ресурсах организации. После этого он произвел незаконное копирование нескольких сотен тысяч фотографий и сведений руководства ОАО «РЖД» и иных работников указанной организации, являющихся персональными данными. Вышеуказанные данные впоследствии были опубликованы на одном из интернет-ресурсов, хостинг которого расположен в Федеративной Республике Германия», – отметили следователи. Хакер свою вину признал.