40] База клиентов сайта «РЖД Бонус» утекла в сеть. В ОАО «РЖД» пояснили, что это была попытка взлома

Участники программы лояльности РЖД-бонус 8–10 мая массово получили отказы в оформлении премиальных билетов. Как сообщают в соцсетях, в ответ на запрос им пришло уведомление об «ограничениях по доставке смс-сообщений». «Копишь эти баллы, надеешься, а в итоге вместо бесплатного билета покупаешь его за деньги, чтобы не остаться без места на нужную дату», – сетуют в паблике.

Туристы не смогли купить билеты по бонусной программе РЖД

По словам туристов, технических сбоев при покупке билетов на сайте РЖД практически не бывает, в отличие от ресурса, который создан для накопления премиальных баллов и оформления за них билетов. Среди претензий к сервису – несвоевременное зачисление бонусов или вообще их необоснованное списание, нередки отказы в авторизации при попытке зайти в личный кабинет из-за, к примеру, якобы неправильного номера паспорта или просто недоступности сервера.

Продолжение истории после рекламы

Многие путешественники жалуются на его несовершенство из-за необходимости постоянного ввода различных данных, что усложняет пользование как сайтом, так и мобильным приложением: все надо делать самому – никакой автоматики. «После бонусных систем авиакомпаний сервис РЖД – как небо и земля», – делают вывод туристы.

Более 10 лет на железнодорожном транспорте работает программа поощрения пассажиров в поездах холдинга РЖД, среди которых также «Сапсан», «Ласточка», «Невский экспресс». Условия предоставления достаточно щедрых льгот описаны в многостраничных Правилах.

Продолжение истории после рекламы

Коротко же суть программы можно изложить в несколько предложений. На личный счет поступает поощрение из расчета 1 балл за каждые 3,34 руб. от стоимости приобретенного билета. При переходе на «золотой» уровень получают больше – 1 балл за каждые потраченные 2,23 руб. Для этого надо накопить 35 тыс. баллов или проехать в купе или классом выше 50 раз в течение календарного года.

А вот стоимость конкретной поездки за баллы можно узнать только с помощью специального калькулятора в программе РЖД-бонус. К примеру, в соцсетях сообщают о приобретении билета при цене 4,9 тыс. руб. в купе на ночной поезд из Москвы в Санкт-Петербург за 7 тыс. баллов. И всегда отдельно идет оплата уже реальными деньгами за дополнительные услуги, если они есть, – питание, постельное белье, дорожные наборы.

Продолжение истории после рекламы

Часто ездящие в поездах туристы отмечают, что для накопления баллов выгодно подключить «семейную» опцию, и напоминают, что студенты получают дополнительную скидку, как и при покупке обычных билетов, а в случае отказа от поездки потраченные баллы возвращают на счет. При планировании также важно не забывать, что премиальные билеты доступны в ограниченном количестве и не на каждый поезд и не рассчитаны на места в плацкартных вагонах.

В Сеть утекли данные свыше 1,3 млн клиентов программы лояльности "РЖД Бонус"

В свободном доступе в интернете оказалась база с персональными данными пользователей программы лояльности «РЖД бонус» компании «Российские железные дороги» (РЖД). На появление в Сети этой базы обратили внимание несколько Telegram-каналов. На утечку также обратил внимание основатель сервиса поиска утечек DLBI Ашот Оганесян.

Продолжение истории после рекламы

«6 ноября зафиксирована попытка взлома программы лояльности «РЖД Бонус», в ходе которой злоумышленнику удалось получить доступ только к служебному файлу, содержащему в зашифрованном виде адреса электронной почты пользователей. Система безопасности предотвратила доступ к персональным данным участников. Инцидент не угрожает сохранности личных данных пользователей, а также баллов на счетах клиентов», — сообщили в пресс-службе РЖД РИА «Новости».

Продолжение истории после рекламы

Несмотря на заявленное отсутствие угроз, пароли пользователей сервиса были сброшены. 8 ноября компания разослала клиентам РЖД Бонус электронные письма, в которых говорится о необходимости сменить используемый пароль в связи с попыткой взлома.

В РЖД также сообщили о проведенных после атаки «защитных мероприятиях», уточнив, что компания начала расследование, по итогам которого будет принято решение о передаче материалов в правоохранительные органы. Восстановить работу сервиса «РЖД Бонус» обещали к вечеру 7 ноября, но и 9 ноября сервис работал нестабильно — сайт бонусной программы открывался с задержками.

Продолжение истории после рекламы

Продолжение истории после рекламы

Время на прочтение

40] База клиентов сайта «РЖД Бонус» утекла в сеть. В ОАО «РЖД» пояснили, что это была попытка взлома

6 ноября 2020 года основатель сервиса поиска утечек и мониторинга даркнета «DLBI» Ашот Оганесян сообщил, что база данных сайта «РЖД Бонус» попала в открытый доступ.

40] База клиентов сайта «РЖД Бонус» утекла в сеть. В ОАО «РЖД» пояснили, что это была попытка взлома
Сообщение о находке в Telegram-канале DC8044 F33d.

40] База клиентов сайта «РЖД Бонус» утекла в сеть. В ОАО «РЖД» пояснили, что это была попытка взлома
При регистрации в программе пользователи должны были предоставить свои персональные данные, включая ФИО, дату рождения, номер телефона, город, паспортные данные, а также электронную почту.

40] База клиентов сайта «РЖД Бонус» утекла в сеть. В ОАО «РЖД» пояснили, что это была попытка взломаПример утекшей базы данных, ФИО пустые, но, возможно, что в других строках они есть полные.

В компании пояснили, что «после атаки были проведены защитные мероприятия, работоспособность программы лояльности будет восстановлена к вечеру 7 ноября. В настоящий момент времени ведется служебное расследование, по результатом которого будет принято решение о передаче материалов в правоохранительные органы».

Примечательно, что два происшествия с утечкой данных ОАО «РЖД» и получением доступа во внутренние сети и сервисы компании обсуждались на Хабре в прошлом году.

В конце августа 2019 года неизвестный пользователь опубликовал в свободном доступе персональные данные 703 тыс. человек, которые предположительно являлись сотрудниками ОАО «РЖД», причем в самом ОАО «РДЖ» на тот момент работало 732 тыс. сотрудников. Среди свободно доступных данных по сотрудникам, включая руководство компании, там была представлена такая информация: ФИО, дата рождения, адрес, номер СНИЛС, должность, фотография, телефон, адрес электронной почты (иногда на доменах NRR.RZD, DZV.ORG.RZD, ORW.RZD и других внутренних доменах ОАО «РЖД»). На сайте с выложенной базой была надпись: «Спасибо ОАО «РЖД» за предоставленную информацию, путем бережного обращения с персональными данными своих сотрудников».

В ноябре 2019 года специалисты ОАО «РЖД» проводили другое технологическое расследование, касающееся факта взлома (в компании именно так описана произошедшая ситуация) системы беспроводного доступа в сеть высокоскоростного поезда «Сапсан».

15 ноября 2019 года пользователь keklick1337 в своей публикации «Самый беззащитный — это Сапсан» рассказал, что он смог за двадцать минут получить доступ к внутренним сервисам мультимедийного портала «Сапсана», нашел там локально хранящиеся некоторые данные о пассажирах (текущего и прошлых рейсов), а так же обнаружил в этой системе «VPN в сеть РЖД» и написал: «РЖД, поправьте все, через пару месяцев снова проверю».

А уже 21 ноября 2019 года в ОАО «РЖД» сообщили, что в их сети нет критических уязвимостей, используя которые можно получить доступ к действительно важным данным или внутренним сервисам, а угрозы похищения персональных данных при взломе мультимедийной системы поезда «Сапсан» не существует.

40] База клиентов сайта «РЖД Бонус» утекла в сеть. В ОАО «РЖД» пояснили, что это была попытка взлома

Минутка заботы от НЛО

Этот материал мог вызвать противоречивые чувства, поэтому перед написанием комментария освежите в памяти кое-что важное:

РЖД зафиксировали попытку взлома «РЖД Бонус»

МОСКВА, 7 ноября. /ТАСС/. РЖД обнаружили попытку взлома программы «РЖД Бонус»и предотвратили доступ к личным данным участников. Об этом ТАСС сообщили в пресс-службе компании.

«6 ноября зафиксирована попытка взлома программы лояльности «РЖД Бонус», в ходе которой злоумышленнику удалось получить доступ только к служебному файлу, содержащему в зашифрованном виде адреса электронной почты пользователей. Система безопасности предотвратила доступ к персональным данным участников. Инцидент не угрожает сохранности личных данных пользователей, а также баллов на счетах клиентов», — рассказали в компании.

В РЖД добавили, что провели защитные мероприятия, работоспособность программы лояльности будет восстановлена к вечеру 7 ноября. Сейчас ведется служебное расследование, по результатом которого будет принято решение о передаче материалов в правоохранительные органы. «В целях безопасности всем пользователям будет предложено сменить пароль при входе на сайт», — заключили в компании.

«РЖД Бонус» — программа лояльности для пассажиров компании, которая позволяет получать баллы за купленные билеты и потом использовать их для оформления проездных документов. 

Программа лояльности РЖД для меня была немного нонсенсом, зачем лояльность монополисту?
Но оно работало, я даже перестал ждать подвоха, и тут РЖД наконец показало истинное лицо со своей «программы лояльности»
Весь 2017 и половину 2018 года я почти каждую неделю ездил в Москву, на поезде было удобнее и в Питере и в Москве, едешь на метро, не зависишь от аэроэкспрессов.
За это время накопилось порядка 100000 премиальных баллов в «программе лояльности» ржд-бонус (1 поездка на сапсане стоит 5000 баллов).
Не буду даже упоминать чудесный сайт, которым было невозможно пользоваться и который наконец переделали год назад.
Так вот, за последние два года я потратил чуть больше половины всех бонусов, в вчера при попытке купить премиальный обнаружил, что я потерял все свои баллы и золотой статус программы.
Они просто все были списаны 05.12, даже подаренные 26.11 на день рождения 500 баллов.
Наверное ошибка, подумал я и обратился в службу подержки, но там мне ответили только вот этим:
«Срок действия баллов не ограничен при условии отражения на персональном счете в течение 24 месяцев хотя бы одной транзакции по начислению баллов за совершенные поездки.
В случае отсутствия транзакций за поездки или если в течение 24 месяцев отражены только транзакции по списанию баллов, накопленные баллы аннулируются.»
При том, что я не пропадал с радаров, ездил в поездах регулярно, да, тратя премиальные баллы и доплачивая за услуги в поездах и, очевидно, продолжил бы так делать, когда баллы закончились.
Как вы думаете, хоть где-то мне подсветилось в «программе лояльности» или на сайте РЖД, что баллы скоро сгорят? Если бы я делал программу лояльности, я бы хотел чтобы клиент был достаточно лоялен.
Но РЖД решило по другому, и программа лояльности стала как бы больше не для меня: «Чувак, ты два года платил нам только за доп.услуги в поездах, иди на хрен». Забота о клиенте — это не про РЖД, видимо.
Ну и вишенкой, конечно стало то, что баллы, подаренные на день рождения 26 ноября ЭТОГО года, списались через 10 дней после «дарения».
Что я могу сказать, браво РЖД, а я пошел за билетом на самолет

Оцените статью
Портал РЖД - Помощь