[Обновлено на 14:40] База клиентов сайта «РЖД Бонус» утекла в сеть. В ОАО «РЖД» пояснили, что это была попытка взлома

6 ноября 2020 года основатель сервиса поиска утечек и мониторинга даркнета «DLBI» Ашот Оганесян сообщил, что база данных сайта «РЖД Бонус» попала в открытый доступ.

Первым информацию об этой утечке опубликовал Telegram-канал DC8044 F33d.

Оганесян в Telegram-канале «Утечки информации» пояснил, что резервная копия (бекап) MySQL-дампа с базой данных сайта «РЖД Бонус» (rzd-bonus.ru) размером около 2.4 ГБ по какой-то непонятной причине была выложена администратором в корне сайта. Оказалось, что как минимум несколько человек успели ее скачать до того момента, как сайт стал недоступен. Вдобавок там же были размещены и доступны для сохранения: bash-скрипт, в котором был прописан путь к дампу базы данных и находился логин и пароль пользователя, а также приватный ключ RSA.

Сообщение о находке в Telegram-канале DC8044 F33d.

Оганесян в своей публикации на Facebook напомнил, что скачивать на свой ПК и распространять в сети Интернет подобные архивы нежелательно. Технически это может попасть под некоторые статьи УК РФ, например, ч. 1 ст. 183 УК РФ — незаконное получение и разглашение сведений, составляющих коммерческую тайну; ч. 1 ст. 272 УК РФ — неправомерный доступ к охраняемой законом компьютерной информации.

При регистрации в программе пользователи должны были предоставить свои персональные данные, включая ФИО, дату рождения, номер телефона, город, паспортные данные, а также электронную почту.

Анализ части данных показал, что в утекшем дампе есть таблица «b_user», в которой содержатся данные 1 360 836 зарегистрированных пользователей. Там есть логины и хешированные пароли (сайт на Битриксе, поэтому там обычный MD5 с солью), адреса электронной почты, ID-пользователей, даты регистрации и последнего входа в систему.

Пример утекшей базы данных, ФИО пустые, но, возможно, что в других строках они есть полные.

Огромный кусок дампа занимает детальный лог доступа пользователей к сайту («b_event_log») с айпишниками и прочими данными — User-Agent и версия ОС, ID-пользователя, дата доступа (с 07.08.2020 по 08.10.2020).

Обновление публикации на 14:40. По информации РИА Новости: «РЖД зафиксировали попытку взлома „РЖД Бонус“, система безопасности предотвратила доступ к персональным данным участников, сообщили в компании. В целях безопасности всем пользователям будет предложено сменить пароль при входе на сайт».

«Злоумышленникам удалось получить доступ только к служебному файлу, содержащему в зашифрованном виде адреса электронной почты пользователей, а система безопасности предотвратила доступ к персональным данным участников. Инцидент не угрожает сохранности личных данных пользователей, а также баллов на счетах клиентов,» — уточнили в ОАО «РЖД».

В компании пояснили, что «после атаки были проведены защитные мероприятия, работоспособность программы лояльности будет восстановлена к вечеру 7 ноября. В настоящий момент времени ведется служебное расследование, по результатом которого будет принято решение о передаче материалов в правоохранительные органы».

Примечательно, что два происшествия с утечкой данных ОАО «РЖД» и получением доступа во внутренние сети и сервисы компании обсуждались на Хабре в прошлом году.

В конце августа 2019 года неизвестный пользователь опубликовал в свободном доступе персональные данные 703 тыс. человек, которые предположительно являлись сотрудниками ОАО «РЖД», причем в самом ОАО «РДЖ» на тот момент работало 732 тыс. сотрудников. Среди свободно доступных данных по сотрудникам, включая руководство компании, там была представлена такая информация: ФИО, дата рождения, адрес, номер СНИЛС, должность, фотография, телефон, адрес электронной почты (иногда на доменах NRR.RZD, DZV.ORG.RZD, ORW.RZD и других внутренних доменах ОАО «РЖД»). На сайте с выложенной базой была надпись: «Спасибо ОАО «РЖД» за предоставленную информацию, путем бережного обращения с персональными данными своих сотрудников».

В декабре 2019 года следственными органами удалось найти злоумышленника, который незаконно скопировал и выложил в интернет данные сотен тысяч сотрудников ОАО «РЖД», в том числе руководства компании. Им оказался двадцатишестилетний житель Краснодарского края. Оказалось, что логин и пароль для входа на корпоративный сайт ОАО «РЖД» случайно увидел на бумажке в паспорте у знакомого.

В ноябре 2019 года специалисты ОАО «РЖД» проводили другое технологическое расследование, касающееся факта взлома (в компании именно так описана произошедшая ситуация) системы беспроводного доступа в сеть высокоскоростного поезда «Сапсан».

15 ноября 2019 года пользователь keklick1337 в своей публикации «Самый беззащитный — это Сапсан» рассказал, что он смог за двадцать минут получить доступ к внутренним сервисам мультимедийного портала «Сапсана», нашел там локально хранящиеся некоторые данные о пассажирах (текущего и прошлых рейсов), а так же обнаружил в этой системе «VPN в сеть РЖД» и написал: «РЖД, поправьте все, через пару месяцев снова проверю».

А уже 21 ноября 2019 года в ОАО «РЖД» сообщили, что в их сети нет критических уязвимостей, используя которые можно получить доступ к действительно важным данным или внутренним сервисам, а угрозы похищения персональных данных при взломе мультимедийной системы поезда «Сапсан» не существует.

Минутка заботы от НЛО

Этот материал мог вызвать противоречивые чувства, поэтому перед написанием комментария освежите в памяти кое-что важное:

Как написать комментарий и выжить

Не пишите оскорбительных комментариев, не переходите на личности.

Воздержитесь от нецензурной лексики и токсичного поведения (даже в завуалированной форме).

Для сообщения о комментариях, нарушающих правила сайта, используйте кнопку «Пожаловаться» (если доступна) или форму обратной связи.

Что делать, если: минусуют карму | заблокировали аккаунт
→ Кодекс авторов Хабра и хабраэтикет
→ Полная версия правил сайта

Теги:

Хабы:

// arUser - из БД, arParams - введённые параметры авторизации $salt = substr($arUser["PASSWORD"], 0, strlen($arUser["PASSWORD"]) - 32); $db_password = substr($arUser["PASSWORD"], -32); $user_password = md5($salt.$arParams["PASSWORD"]); if($db_password === $user_password) { /// авторизовать пользователя }

Комментарии 83

ishtan вчера в 10:05
+10
-__-
Вот почему я не удивлен?) Наверное потому, что именно сейчас бодаюсь с РЖД, пытаясь указать им на ошибку при составлении расписания одного поезда, критически важного для меня.
«РЖД… РЖД никогда не меняется...»
- stobaksov100 вчера в 10:52
  +1
  ошибку при составлении расписания одного поезда
  
  Можно конкретнее?
  - ishtan вчера в 11:16
    
    +14
    Конкретика
    
    26-го декабря сего года мне нужно уехать из Тынды в Шимановск. Прямой поиск билета на сайте РЖД не дает результата:
    
    Тында-Шимановск
    
    При этом, если указать станцию отправления «Побожий» (маленькая станция, которая в 22 км южнее Тынды), то видим следующее
    
    Побожий-Шимановск
    
    Так же видим количество мест. Оно соответствует 1 сидячему вагону, двум плацкартным и 1 купейному вагону, ЕМНИП.
    
    Просматривая маршрут поезда, видим следующее:
    
    Маршрут 325Э 26-го декабря
    
    Станция отправления указана «Побожий». Запомним, к этому еще вернемся.
    
    Если же мы просмотрим варианты проезда 25-го и 27-го числа, то видим следующию картину:
    
    Тында-Шимановск 25-го и 27-го числа
    
    Маршрут поезда 325Э в данные дни следующий:
    
    Маршрут 325Э 25-го и 27-го декабря
    
    Обобщим. 26-го декабря расписание поезда 325Э выбивается из нормального и становится аномальным. При этом 325Э 26-го декабря отправляется с маленькой станции «Побожий», где нет инфраструктуры для формирования поезда — нет дополнительных веток железной дороги, нет вагонного и локомотивного депо. Есть только две нитки основного полотна железной дороги, на котором формирование поезда, на мой дилетантский взгляд, невозможно.
    
    Вывод — в расписании поезда 325Э на 26.12.2020 есть необьяснимая аномалия, которую связываю с ошибкой при указании станции отправления поезда, и, что для меня болезненнее всего — невозможностью в данный день доехать до Шимановска
    
    P.S. Прикрепляю спутниковые снимки станции Побожий:
    
    Побожий со спутника
    - stobaksov100 вчера в 16:55
      
      +4
      
      где нет инфраструктуры для формирования поезда — нет дополнительных веток железной дороги, нет вагонного и локомотивного депо
      
      Это необязательно.
      
      Поезд может просто ехать туда-назад. Вагоны-то симметричные, им всё равно как ехать «передом» или «задом», разворачивать весь поезд целиком нет необходимости.
      
      Даже локомотив необязательно перецеплять, если у поезда заранее 2 локомотива зацеплено в начале и в конце. В этом нет ничего не обычного — в местных поездах-«электричках» как правило так и есть. «Туда» тащит один локомотив, второй едет балластом в хвосте. «Обратно» функции локомотивов меняются между собой.
      
      Впрочем, вот тут утверждают:
      nashatynda.ru/news/view?id=pobozij-prinal-pervye-poezda
      что Побожий — именно разъезд, то есть локомотив может объехать поезд и перецепиться с другой стороны.
      
      «Бамстроймеханизация» открыла третий разъезд на однопутной линии Бамовская – Тында. Накануне трёхкилометровый разъезд Побожий разделил перегон Сети – Тында
      …
      Уникальность разъезда Побожий в том, что на этой промежуточной станции 6 входных светофоров и она примыкает к двухпутной вставке
      
      P.S.:
      Я как минимум в 2-х местах наблюдал несколько лет, когда поезд действительно отходит от небольшого населенного пункта, расположенного рядом с большим городом, а не от самого этого большого города.
      
      Как там в реальности формируются поезда — это нужно у местных уточнять.
      Может, это действительно ошибка ЖД, а может это ваша ошибка.
      
      и, что для меня болезненнее всего — невозможностью в данный день доехать до Шимановска
      
      И такое тоже бывает, сталкивался.
      
      По определенным дня поезд может не проходить мимо каких-то станций или проходить, но не останавливаться там.
      
      Возможно это ошибка ЖД, а может и ваша ошибка.
      
      Чисто логикой тут ничего не выведешь, нужно проверять как оно в действительности. У местных жителей, например, спросить (интернет же есть, — через соц.сети можно)
      - ishtan сегодня в 03:28
        
        0
        
        325Э не является скорым поездом, и, что самое важное — по стандартному расписанию стоит то ли 2, то ли 3 часа в Тынде. Тында — крупный жд узел, соединяющий БАМ и Транссиб, с хорошо развитой инфраструктурой. Скорее всего, в этой точке сменяются локомотивные бригады + идет наполнение поезда (белье, уголь для котлов вагонов, товары для проводников).
    - Serge78rus вчера в 18:37
      
      –2
      
      Прикрепляю спутниковые снимки станции Побожий
      Вы бы поаккуратнее с такими скриншотами, вдруг это тоже раскрывает какие-либо тайны РЖД, все таки элементы критической инфраструктуры и плевать, что в Гугле доступно всем.
      - ishtan сегодня в 03:30
        
        0
        
        На снимке крайне хорошо видно, что через всю станцию идут лишь два основных пути (чет-нечет), и нет никаких допразвязок и прочего. Из чего следует, что станция — лишь промежуточный пункт, с отсутствующей в корне какой либо допинфраструктурой
    - Aquahawk вчера в 23:20
      
      +1
      
      Посмотрите на этот кейс, похоже? pikabu.ru/story/kak_v_prazdniki_nayti_biletyi_na_zhd_6328133 15 лет проблеме.
    - asdp вчера в 23:32
      
      0
      
      Если зайти с другой их страницы и снять галочку «только с наличием мест», то прекрасно видно этот поезд.
      pass.rzd.ru/tickets/public/ru?layer_name=e3-route&st0=%D0%A2%D1%8B%D0%BD%D0%B4%D0%B0&code0=2048000&st1=%D0%A8%D0%B8%D0%BC%D0%B0%D0%BD%D0%BE%D0%B2%D1%81%D0%BA%D0%B0%D1%8F&code1=2050450&dt0=26.12.2020&tfl=3&md=0&checkSeats=0
      - ishtan сегодня в 03:23
        
        0
        
        Да, не спорю — поезд видно. Но будем честны — шанс того, что на станции Побожий резко освобождается весь поезд — крайне мал. Особенно с учетом того, что поезд 325Й имеет маршрут Тында-Хабаровск.
        
        Плюс учтите, что старая версия сайта и новая немного противоречат друг другу. В одной идет поезд 325Э, во второй 325Й. Какой верить — непонятно.
        
        Sap_ru сегодня в 04:28
        
        +1
        
        У РЖД хроническая и историческая проблема с виртуальными поездами. Т.е. есть поезд, у которого в ходе следования изменяется количество вагонов. В РЖД это бывает видно, как два поезда идущих одним составом. При этом один из них них может возникать и исчезать на какой-нибудь станции по пути следования.
        Или ещё веселее — вагон отцепляют от одного поезда и прицепляют к другому. При этом второй поезд может следовать тем же маршрутов, что и первый, но, например, через час (!!!).
        Это порождает глючий адов ад в бронировании. И именно так возникают ситуации, когда билетов нет, но от какой-то конкретной станции они есть, а потом опять есть, а потом опять нет.
        325Э и 325Й могут быть основным поездом и «виртуальным», обозначающим прицепные вагоны.
        
        VIPDC сегодня в 08:29
        
        0
        
        НА самом деле ~~проблема~~ фича лежит в другой плоскости.
        1. Действительно существует куча вагонов вагонов беспересадочного сообщения, и это реально удобно для многих людей. Бывает даже целые поезда прицепляются к другим поездам.
        2. ТО что вам кажется глюком по билетам, сложнейшая система распределения, основанная на приоритетах распределения и квот, для обеспечения доступности билетов по малым станциям, максимальной загрузки из пунктов формирования, ступенчатой загрузки составов по мере следования.
        РФ очень большая, многие фишки покупки билетов остались со времен СССР для борьбы с перекупщиками. В системе продажи и бронирования очень нелинейная система продажи и доступности билетов
- Diamitra вчера в 23:26
  0
  Может (если это один раз), доехать на такси до Побожьево? Это 30 минут!
  - ishtan сегодня в 03:23
    
    +1
    К сожалению, в полночь в Тынде я скорее найду приключений на пятую точку, чем такси)
    - SergeyMax сегодня в 12:47
      
      0
      
      Щас такси вроде уже не надо искать, оно само приезжает.
bungu вчера в 11:16
+10
Оганесян в своей публикации на Facebook напомнил, что скачивать на свой ПК и распространять подобные архивы нельзя, согласно статей УК РФ (ч. 1 ст. 183 УК РФ — незаконное получение и разглашение сведений, составляющих коммерческую тайну; ч. 1 ст. 272 УК РФ — неправомерный доступ к охраняемой законом компьютерной информации).

Не очень понимаю что противозаконного в скачивании и распространении этой информации? Незаконного доступа или взлома не было, ведь администратор сам выложил в корень сайта архив и кто-то совершенно обычным способом через браузер его скачал. Разглашение коммерческой тайны тут тоже нет, ведь пользователь изначально не мог знать что информация ей является, да и к тому же вряд ли подписывал договор о неразглашении. Вот как раз администратор может попасть под эту статью, но никак не скачавший. Разве я должен каждый раз что-то скачивая из интернета предполагать что это может оказать тайной?
- ashotog вчера в 11:30
  +2
  там у меня было не так категорично. я написал «серая созна. я бы не стал.» ;)
- mig126 вчера в 11:40
  +9
  Служить в органах могут или святые, или подлецы.
  Если Вы еще не сидите, то это не Ваша заслуга, а наша недоработка.
  Не думай. Думаешь — не говори. Думаешь и говоришь — не пиши. Думаешь, говоришь и пишешь — не подписывай. Думаешь, говоришь, пишешь и подписываешь — не удивляйся.
  Феликс Эдмундович Дзержинский
- CherryPah вчера в 15:00
  +1
  Интересно, а к фильмам скачанным с торрентов эту логику можно применить? Ну как бы тоже никаких взломов я не произвожу, спокойно себе качаю и раздаю через легальный торрент клиент. О том что это чья-то интеллектуальная собственность добродушно не подозреваю
  - Dmitry_Dor вчера в 15:36
    
    0
    а к фильмам скачанным с торрентов эту логику можно применить?
    Нельзя. Потому что скачивая с торрентов вы ещё и раздаете, а это уже распространение. Даже если в настройках торрент-качалки/смотрелки указать «нулевую» раздачу, то что-то все равно утечет, а в данном случае ~~«чуть-чуть не считается»©~~ чуть-чуть очень даже считается. Например, в Германии.
    А вот смотреть и даже сохранять online видео из источников, не использующих торренты, в принципе не возбраняется, в т.ч и в той же Германии.
  - AC130 вчера в 15:37
    
    +4
    Вот и РЖД сейчас тоже включит дурака и скажет что никакой утечки персональных данных не было, файлы никто не скачивал и т.п.
- stobaksov100 вчера в 17:04
  –4
  Незаконного доступа или взлома не было, ведь администратор сам выложил в корень сайта архив и кто-то совершенно обычным способом через браузер его скачал
  
  Это заблуждение, что публично доступная информация может быть вами использована на законном основании.
  
  Попробуйте, скажем, в каком-нибудь копирастном деле отмазаться таким образом. Мол, нашли фотку знаменитости на доступном сайте в интернете и потому имеете право использовать её в рекламе своей фирмы.
  Или нашли автомат Калашникова и решили тир устроить…
  
  То есть самого факта кражи/взлома тут не будет, конечно.
  
  Но будет другой факт не более законный — незаконное владение, незаконное использование, незаконное хранение…
  
  Вот как раз администратор может попасть под эту статью, но никак не скачавший. Разве я должен каждый раз что-то скачивая из интернета предполагать что это может оказать тайной?
  
  1) Незнание закона не освобождает от наказания. А персональные данные довольно однозначно идентифицируются, что это именно они.
  2) А вам зачем эта информация? Смотреть на неё и любоваться? Ну никому не говорите, что у вас это есть — и ничего вам не будет. А вот когда вы решите этой информацию поделиться или шантажировать или т.п. — вот тут то и начинается самое интересное.
  - Dmitry_Dor вчера в 18:12
    
    +1
    нашли фотку знаменитости на доступном сайте в интернете и потому имеете право
    … ее разглядывать, сохранить, и даже распечатать и повесить например в туалете (не общественном!)
    использовать её в рекламе своей фирмы.
    А вот это уже как минимум незаконное распространение, а то и незаконное использование.
    А персональные данные довольно однозначно идентифицируются, что это именно они.
    Если вы зашли на страничку https://habr.com/ru/users/ то можете увидеть некоторые персональные данные юзверей. Например, у меня там реальная фотография, реальное имя и фамилия. У кого-то там могут быть указаны реальные телефоны, e-mail, и т.д. Но факт посещения вами этой странички ИМХО ещё не повод вас за это сажать.
    когда вы решите этой информацией… шантажировать
    А вот это уже «более другая» статья, независимо от того, как вы получили эту информацию, даже если вы владеете ей на законных основаниях, например опознав на опубликованной фотографии своего знакомого, скрывшегося с места ДТП.
  - bungu вчера в 19:39
    
    –1
    Что-то вы тут все в одно намешали. Владение автоматом Калашникова это статья за незаконное хранение оружия, а вот в фильмах есть совершенно точно информация о правообладателях(копирайт)
REPISOT вчера в 11:31
+9
Кто будет наказан? Какой-нибудь эникей Петя. Компенсация пострадавшим? Пф! Выводы и меры для предотвращения? А зачем? Граждане не должны нарушать закон скачивая чужие персональные данные…
- snizovtsev вчера в 11:38
  +3
  По-хорошему бы надо коллективный иск к РЖД подать, с требованием компенсации. Тогда сразу зашевелятся. Но в нашей стране это малоперспективно.
  - MrB4el вчера в 12:17
    
    +2
    А докажите сначала убытки, без этого можно даже не пытаться, чтобы потом не платить судебные расходы РЖД (которые они вполне могут выставить в пяти-шестизначном виде)
  - tmin10 вчера в 13:08
    
    0
    Хм, чтобы понять, что мои ПД утекли, получается, мне надо скачать эту базу и проверить там себя...
    - gecube вчера в 13:24
      
      +1
      
      в целом — да. Подавать на нарушение ФЗ-152 (режим хранения ПД)
    - nerudo вчера в 13:33
      
      +8
      
      В качестве компенсации вам обеспечат бесплатный кров на 5 лет, пока отбываете за несакционированный доступ.
    - snizovtsev сегодня в 12:45
      
      +1
      
      Я так понимаю ответственность у того, кто распространяет, а не скачивает. Если скачали не торрентом и проверили только себя и удалили — вопросов быть не должно. В конце концов, иногда чужие данные можно получить ненарочно по чужой ошибке (на тезку, например).
FreeNickname вчера в 14:55
0
А почему Битрикс для хранения паролей по умолчанию, насколько я понял из статьи, до сих пор использует md5?
- klis вчера в 15:32
  0
  А в чем проблема? Вы научились ломать подсоленный md5?
  - vsespb вчера в 20:28
    
    0
    Ещё какая проблема. Современные алгоритмы — это например PBKDF2. Он затрудняет брутфорс паролей.
  - czz вчера в 21:45
    
    +6
    Да, на GPU-ферме их можно брутфорсить со скоростью около 100 GH/s.
    2/3 паролей подбираются за часы и дни.
  - ainu сегодня в 00:07
    
    +3
    Да, если соль в базе данных лежит, или она известна. А она может быть известна (если у злоумышленника есть аккаунт на сайте с известным паролем) — тогда он сначала брутит соль. Или если лежит в базе.
    
    Конкретно в битриксе вот так (или было недавно так)
    
    // arUser - из БД, arParams - введённые параметры авторизации $salt = substr($arUser["PASSWORD"], 0, strlen($arUser["PASSWORD"]) - 32); $db_password = substr($arUser["PASSWORD"], -32); $user_password = md5($salt.$arParams["PASSWORD"]); if($db_password === $user_password) { /// авторизовать пользователя }
    
    То есть пресловутая соль тупо лежит в базе данных. Тут даже думать ничего не надо, доли секунд для брута 6-7 значных паролей. То есть я понимаю и все понимают, какой битрикс из себя устроен, но маркетинг делает своё дело. И фразы «Вы научились ломать подсоленный md5?» тоже. Не надо так, соль соли рознь.
    
    Такое можно защитить штукой под названием pepper, которая не должна лежать в базе (идеально — в ENV, например в nginx/docker, в любом месте, отличном от папки с кодом сайта, чтобы при утечке И кода И базы всё равно брут был бы нереально долгим). Но всё равно если есть доступ к выполнению кода, оно обходится. Благо такое происходит реже чем простая утечка БД.
    - vsespb сегодня в 00:18
      
      0
      
      Вообще-то соль и должна лежать в базе, именно поэтому она называется соль. В этом плане к битриксу нет претензий никаких. Претензии к нему в плане md5.
      - ainu сегодня в 12:03
        
        0
        
        Если соль в базе, то брут вида
        
        foreach(HASHES_FROM_DB){ foreach (ALL_PASSWORDS){ if(check (hash(PASSWORD)==HASH_FROM_DB)){ //... } } }
        
        превращается в
        
        foreach(HASHES_FROM_DB){ foreach (ALL_PASSWORDS){ if(check (hash(PASSWORD + SALT_FROM_DB)==HASH_FROM_DB)){ //... } } }
        
        То есть время брута не уменьшается и не увеличивается. Единственное, где оно может помочь — если в базе пароль «123456» встречается три раза, то не получится его закешировать, и каждый «123456» надо будет брутить дважды.
        
        Плюс существующие базы md5 и rainbow таблицы тоже уже не помогают, но нынче они толком и не нужны, спасибо видеокартам.
        
        Но
        
        Вы научились ломать подсоленный md5
        
        вот это не имеет смысла. А вот с pepper-ом можно было бы даже остаться на md5. Не очень хорошо, но терпимо.
        
        Претензии к нему в плане md5.
        
        Безусловно, Вы правы. В идеале это password_hash + pepper.
        
        У алгоритмов PBKDF2 и Argon2 имеют проблему в скорости выполнения, при потенциально большой загрузке (например начался онлайн экзамен, 60 студентов одновременно пошли логиниться) — это может завалить сервер, если он один. Но в некоторых кейсах разумеется такой путь имеет место быть
- sumanai сегодня в 00:40
  0
  А зачем менять? Как сделали 15 лет назад, так никто этот код и не трогал. За это же деньги не платят.
KonstantinSpb вчера в 15:03
+8
База клиентов сайта «РЖД Бонус» утекла в сеть. В ОАО «РЖД» пояснили, что это была попытка взлома

Какая же это попытка, когда БД удачно скачана и уже доступна на всяких форумах. Это успех, а значит не попытка.
- Arris вчера в 16:15
  +2
  Если сказать "был взлом" — это равносильно признанию вины.
  
  А если сказать "попытка взлома" — то как бы взлома-то и не было, была попытка, а значит, Ответственные Лица не виноваты.
  - mig126 вчера в 16:40
    
    +3
    РЖД не выгодно садить в тюрьму или штрафовать одного из немногих IT специалистов работающих у них за гроши.
    - Naves вчера в 18:20
      
      +1
      
      Сайт обслуживает подрядчик, скорее всего.
      Подрядчик, скорее всего, карманный, поэтому его обслуживает уже другой подрядчик.
  - Zibx вчера в 19:47
    
    +17
    Хлопок персональных данных.
    - ainu сегодня в 00:14
      
      +3
      
      Уверенный рост количества прекращений попыток взлома. Зафиксированное увеличение отсутствия утечек. Ежедневный рекорд количества дней подряд без инцедентов безопасности.
      - Arris сегодня в 11:01
        
        0
        
        … с премиями всем непричастным.
- dopusteam вчера в 19:54
  0
  Попытка взлома не удалась, поэтому данные отдали просто так)
atri1 вчера в 15:07
0
очередной уволенный админ "взломал" свою систему на которой работал, так было с Яндексом тыщи раз, с Майлру и прочими

… кулстори...
- Areso вчера в 22:17
  0
  Поэтому системы должны блокировать УЗ, АУЗ, КУЗ уволенных сотрудников на следующий день (в полночь) после увольнения. ТУЗы тоже хорошо перетряхивать при помощи PAM'ов, если ими можно воспользоваться снаружи.
  А не так, сотрудника уволили? Уволили. А доступ к VPN, VDI, и прочим системам работает :)
  - gecube вчера в 23:27
    
    0
    Поэтому системы должны блокировать УЗ, АУЗ, КУЗ уволенных сотрудников на следующий день (в полночь) после увольнения.
    не в полночь, а в момент регистрации заявления в кадровой системе, иначе еще остается полдня на всякие злодейства (смеюсь). Но даже обнуление в полночь — это уже лучше, чем ничего
    
    ТУЗы тоже хорошо перетряхивать при помощи PAM'ов, если ими можно воспользоваться снаружи.
    только не PAM'ов, а IdM. Здесь тогда основная опасность — понять КАКИМИ именно ТУЗами (СпУЗ) обладал и мог пользоваться уволенный сотрудник, не пропустить нужные, а сбросить пароли на всех
    - Areso вчера в 23:53
      
      0
      
      HashiCorp Vault как бы как раз позволяет вести учёт доступов к ТУЗам, как пример.
      - gecube сегодня в 00:13
        
        0
        
        Отличное решение! Очень рекомендую! Но это и не PAM, и не IdM!
        Это во-первых. А во-вторых — уволенный сотрудник мог знать поболе чем то, что записано в базульках или проходит по аудиту/бумагам. К сожалению, так бывает )
Legomegger вчера в 15:09
+1
зато вимом пользуется :D
- atri1 вчера в 17:55
  0
  зато вимом пользуется :D
  когда лень иксы настраивать/ставить я тоже так делаю, или сервер слишком слабый которому 20 лет уже
horon вчера в 16:15
+2
а где скачать?
- gonchik вчера в 18:43
  +1
  поискал и не нашел нигде.
  - dartraiden вчера в 18:57
    
    +1
    Кто-то выложил в Telegram
    - gonchik вчера в 20:54
      
      +1
      
      Спасибо!
      Пока вижу что они обезличены :)
      Но этот ли дамп был именно на rzd-bonus.ru
- MacIn вчера в 21:03
  0
  Вот да, проверить свои данные. Вдруг ошибся при вводе.
  
  Спасибо!
  Пока вижу что они обезличены :)
  
  Уже нет канала :-/
  
  mig126
  
  Если Вы еще не сидите, то это не Ваша заслуга, а наша недоработка.
  Феликс Эдмундович Дзержинский
  
  Достоверность этой атрибуции — под сомнением, нет прямого первоисточника. Либо «это же все знают», или отсылка к непроверяемому пересказу пересказа.
  - dartraiden сегодня в 04:12
    
    0
    Канал на месте. Он не показывается в браузере по какой-то причине. Но кнопка View in channel перекинет вас в канал, если у вас стоит клиент.
gonchik вчера в 17:47
0
Вот почему я не могу поменять пароль хотя бы?
ZverenAk вчера в 19:01
0
«В ОАО «РЖД» пояснили, что это была попытка взлома» — а ничего, что база была слита, находится сейчас в открытом доступе (опубликовали ссылку на Мегу), в ней под миллион учеток, а хеши брутятся на раз?: )
- C_21 вчера в 20:26
  0
  Они там уверены, что на пол шишечки на считается. Поэтому так и пишут.
- tmin10 вчера в 21:40
  0
  а хеши брутятся на раз
  При коротких и словарных паролях, наверное? Что-то вроде HFSyo4n4r*qvEF!jA|gXUqx"?yUqrJ\q всё равно непросто сбрутить.
  - osj вчера в 22:50
    
    0
    Вы посмотрите на разрешенные спец символы в форме и поймете, что там немного попроще.
    - tmin10 вчера в 22:52
      
      0
      
      Хм, у меня просто там пароль от автогенератора и есть разные спецсимволы. Возможно они что-то потом поменяли уже. К сожалению сейчас посмотреть не могу, «На сайте ведутся технические работы», ничего не работает.
      - osj вчера в 23:13
        
        0
        
        На РЖД по крайней мере сейчас ограничен набор спецсимволов. Автогенератор не с первого раза выплюнул подходящий пароль.
        
        tmin10 вчера в 23:16
        
        0
        
        На сайте РЖД да, всего 4 спец символа можно. Но речь же идёт о РЖД бонус сайте, это разные системы и там разные логины.
        
        mihmig сегодня в 13:08
        
        0
        
        Вот как так? Какая разница, что прилетит в качестве пароля (главное, чтоб utf8)?
      - ivan386 сегодня в 01:53
        
        +1
        
        Не обязательно же находить оригинальный пароль. Может повезти и коллизия найдётся раньше.
  - vsespb сегодня в 00:22
    
    0
    А это и невозможно сбрутить, но это никак не умалаяет проблему. Проблема брутфорса изначально актуальна именно для «человеческих» паролей.
  - Nikobraz сегодня в 04:27
    
    0
    долго это если один конкретный пароль ломать
    один раз пройтись радужной таблицей и взломана будет вся база, а не один пароль
    - C_21 сегодня в 04:53
      
      0
      
      один раз пройтись радужной таблицей и взломана будет вся база, а не один пароль
      
      Можете объяснить процесс вкратце?
      - Nikobraz сегодня в 05:27
        
        0
        
        Лучше чем в вики и не расскажешь:
        ru.wikipedia.org/wiki/%D0%A0%D0%B0%D0%B4%D1%83%D0%B6%D0%BD%D0%B0%D1%8F_%D1%82%D0%B0%D0%B1%D0%BB%D0%B8%D1%86%D0%B0
        
        Если кратко и на пальцах, то это таблица всех возможных хэшей и паролей, оптимизированная для поиска.
        Готовые таблицы лежат в сети.
        
        К примеру, для паролей длиной не более 8 символов, состоящих из букв, цифр и специальных символов !@#$%^&*()-_+=, захешированных алгоритмом MD5, могут быть сгенерированы таблицы со следующими параметрами:
        
        длина цепочки — 1400
        количество цепочек — 50 000 000
        количество таблиц — 800
        При этом вероятность нахождения пароля с помощью данных таблиц составит 0,7542 (75,42 %), сами таблицы займут 596 ГиБ, генерация их на компьютере уровня Пентиум-3 1 ГГц займёт 3 года, а поиск 1 пароля по готовым таблицам — не более 22 минут.
        
        Однако процесс генерации таблиц возможно распараллелить, например, расчёт одной таблицы с вышеприведёнными параметрами занимает примерно 33 часа. В таком случае, если в нашем распоряжении есть 100 компьютеров, все таблицы можно сгенерировать через 11 суток.
        
        sumanai сегодня в 06:29
        
        0
        
        Пароли всё таки посолены. Так что быстро можно будет подобрать словарные пароли, а уж с ними и с почтой можно будет идти дальше.
- ainu сегодня в 00:22
  +1
  Потому что битрикс на отдельной страничке «Проактивная защита — журнал вторжений» для админа выводит GET паттерны подозрительные (историю), затем говорит что предотвратил взлом. Как правило, едаки битрикса этому верят.
  
  К сожалению, если пресловутый файл был отдан напрямую nginx-ом, битрикс этого не увидит физически, и будет упрямо сообщать, что попытки взлома были, и все они прекращены. Кроме этого, любой мало мальски популярный сайт будет сотню раз просканен всякого рода программами — прощупывателями, и любой мало-мальски популярный сайт на битриксе будет пестрить фактами «попытка взлома».
  
  Выглядит это дело примерно так
Hodus вчера в 20:16
0
попытка взлома? ржд взломал ржд?
timurc вчера в 23:53
0
Раз уж ситуация появилась и информация о ней распространилась, нечего оправдывать «взломом» и «мы тут не виноваты», выглядит еще смешнее. Ну, а может быть админ — это секретный агент частных железнодорожных компаний, который решил «тихонько» слить базу? :)
- vilgeforce сегодня в 00:02
  0
  Тогда придется кого-то наказывать…
  - timurc сегодня в 00:04
    
    0
    Я думаю, в любом случае просто выговор. Или нет. Но паспортные данные слили — это серьезно. E-mail + номер телефона + паспортные данные — полная идентификация везде мошенниками, угрозы и т. п.
  - ainu сегодня в 00:25
    
    0
    Формально по нашим законам виновато юридическое, а не физическое лицо, то самое лицо, которому давалось разрешение на обработку конечным пользователем. В КоАП для таких юрлиц предусмотрены штрафы.
    
    Фактически вероятнее всего никто в следком (или куда там) не напишет никакое заявление, поэтому дела против юрлица не будет, а вот против какого-либо физлица — ещё как может быть (уже по статьям халатность или что то в этом роде).
    - timurc сегодня в 13:24
      
      0
      
      Благодарю за юридическое уточнение. Конечно, против такой крупной компании и уж тем более государственной никто ничего не сделает, а вот против одного админа — еще как. Но им следует сначала «внутреннее расследование» провести, прежде чем «наказывать».
lexore сегодня в 02:53
+1
Злоумышленникам удалось получить доступ только к служебному файлу, содержащему в зашифрованном виде адреса электронной почты пользователей
Это потому что злоумышленникам больше ничего не нужно было.
Остальные файлы до сих пор доступны по прямым ссылкам.
Какие файлы? Те, что обычно лежат в хомяке пользователя: .bash* и .ssh/*
Вот так система, кхм, безопасности предотвратила, кхм, доступ.
Это фиаско, братаны. Урок вам: не делайте корень сайта в хомяке юзера с шеллом.