Heartbleed!!! Всем кто пользовался он-лайн платежами после 7ого апреля

[Duncan MacLeod]

На всякий случай скину информацию сюда.

Если вкратце, то в протоколе, который ранее считался достаточно хорошо защищенным (и позволял совершать безопасно он-лайн платежи) появилась уязвимость, о которой было стало известно 7ого апреля и умельцы очень быстро ей воспользовались.

Т.к. состояние IT у нас оставляет желать лучшего и не все быстро чешутся для исправления уязвимостей, то прежде чем вводить данные карты, следует проверить сайт на уязвимость: https://filippo.io/Heartbleed/ и http://possible.lv/tools/hb/ (но это не дает 100% гарантии что уязвимости нет).

Кому следует обеспокоиться (ваши данные могли попасть в руки мошенников):
1. Тем кто после 7ого апреля покупал билеты в РЖД (http://tjournal.ru/paper/rzd-cards и https://sos-rzd.com/)
2. Пользовался платежными шлюзами для совершения он-лайн покупок.

Подробно можно прочесть тут: http://www.banki.ru/news/daytheme/?id=6443641 и тут чуть технических подробностей: http://ru.wikipedia.org/wiki/Heartbleed

Если вы совершали платежи и не уверены в сайте, где это делали, то самое надежное решение - это звонок в банк с просьбой заблокировать сразу и перевыпустить карту.

[Duncan MacLeod]

Уточню, что речь идет об он-лайн платежах с использованием банковских карт!

[Hydro]

благодарю, прочитал. пользовался ебееми заказом отелей. ттт все ок. теперь буду проверять

[Aberdeen]

Цитата:

Сообщение от Duncan MacLeod

Пользовался платежными шлюзами для совершения он-лайн покупок.

Илья, не понимаю, что это такое...

[Duncan MacLeod]

Aberdeen, Паша, ну допустим, если ты совершаешь покупки в любом интернет-магазине с использованием карты, то тебя перекидывают на платежный шлюз (специальная страница), где ты вводишь данные карты (номер, cvv и т.д.).

Чтобы ты мог безопасно передавать свои данные по интернету (в нашем случае данные карты) использовался защищенный протокол, в реализации которого (ну, не в протоколе, это я условно) и была допущена ошибка, которая позволяет получить все твои данные, когда ты совершаешь покупку и воспользоваться ими при оплате где-то еще.

Западные магазины при оплате картой не шлют смс подтверждения (может не все), так что легко можно списать деньги используя данные твоей карты.

[Aberdeen]

У меня оба банка присылают смску для подтверждения перевода. Это - нормальная защита?

[KARDAN]

СМС потверждение это одна из лучших защит, запрос приходит только тебе. даже если и взломают, ты всегда узнаешь-)

[Duncan MacLeod]

Паш, проблема в другом. Допустим ты сейчас делаешь покупку в магазине, где есть эта уязвимость. Для тебя все прозрачно, ты ввел данные карты, потом получил подтверждающую смс и сделал платеж. Все хорошо.

НО! При этом данные твоей карты попали мошенникам, а они могут купить что-то в иностранных магазинах, не все они требуют подтверждающей смс.

Поэтому нормальная защита - это в ближайшие две-три недели ничего не покупать в интернет магазинах, пока все не обновят программное обеспечение, чтобы закрыть эту уязвимость.
Если уж очень хочется, то в первом сообщении есть ссылки, которые помогут проверить подвержен сайт уязвимости или нет, но и то не даст гарантии что все нормально.

---------- Сообщение добавлено в 21:22 ---------- Предыдущее сообщение было написано в 21:21 ----------

KARDAN, Дим, я писал выше. Иностранные платежные шлюзы не требуют подтверждения по смс.

[Панама]

я для интернет покупок сделал себе виртуальную карту master card (предоставляют большинство банков)
при необходимости кидаю перед покупкой на неё денег через сайт моего интернет-банка и проблем нет.

[KARDAN]

Как вариант сделать QIWI кошелёк, привязывается номер телефона и так же виртуальная карта с "нормальным номером" и секретным кодом. СМС сервис с защитой и поддержка Андроида и Яблока. Никуда ходить не надо, всё можно сделать на сайте Киви, денюжку можно кидать на определённую покупку практически в любом терминале без комиссий. Есть только один минус, перевод средств допустим на карту Сбера, необходимо знать ФИО номера карты и кучу реквизитов.