Программист из Киева Алексей Мохов, бывший сотрудник украинского Samsung и Viewdle, нашел уязвимость в Android—приложении «Приват24», и сообщил в банк о найденной дыре в безопасности. В ПриватБанке Алексея приняли и выслушали. Но потом на всякий случай обвинили в попытке украсть средства со счетов клиентов банка.
ТС видимо считает что ЯП это сборник ссылок. Давай те все будем хуячить только ссылки, тогда сайт будет ваще карсиво выглядеть.
Статью так трудно выложить чтоли? уважай тех кто читае5т твой пост.
Стаья.
КПИшник Алексей Мохов, бывший сотрудник украинского Samsung и Viewdle, нашел уязвимость в Android-приложении «Приват24». ПриватБанк ответил неожиданно, обвинив программиста в попытке украсть средства со счетов клиентов банка.
Мы взяли у Алексея эксклюзивный комментарий, в котором он рассказал, как ему удалось обнаружить уязвимость в системе «Приват24», и почему банк неправ, обвиняя его в попытке мошенничества.
Сейчас я занимаюсь софтом для служб такси в Киеве (как-то так вышло, что занесло в эту степь, раньше работал в Samsung & Viewdle). Так вот. Стояла задача периодически проверять баланс банковских карт ПриватБанка ну и если надо — переводить средства на другую карту. Почему ПриватБанка? Потому что у них одна из самых больших сетей ТСО (терминалов самообслуживания). Схема такова — таксист подходит к ТСО, приложение для пополнения счета в такси запрашивает номер карты, система выдает ему карту и ожидает поступления средств. Как только средства упали на карту — зачисляет средства в системе такси.
В ходе исследования протокола связи с банком я заметил пару ошибок в системе безопасности. Начал глубже копаться в них. Оказалось, что банк позволял еще и переводить средства с карты на карту хоть в другой банк, хоть в другую страну (через Visa/Mastercard). Это помимо доступа к конфиденциальным данным человека (баланс, счета, кредиты, депозиты в банке).
После проведения экспертизы я написал об этом в твиттер, связавшись с аккаунтом ПриватБанка. Помимо этого написал сотруднику ПриватБанка в Днепропетровск, чтобы на меня быстрее вышла Служба безопасности банка.
В тот же день вечером ПриватБанк из штабквартиры в Днепре написал служебку в Киевское отделение Привата на Печерске, написали само собой в отдел СБ. Со мной созвонился представитель Привата В. Максименко и предложил встретиться, показать и рассказать что там да как. Произвел впечатление опытного специалиста, никто не давил на меня (вроде даже и не думали).
Ну я приехал, показал и рассказал, как программисты Привата допустили дыру в безопасности. Показал, как можно подставить в принципе любого человека, даже председателя правления Привата. Еще я подменил официальное приложение банка (добавил в него свой код) и показал, что можно сделать с ним. Почти нереально отличить официальное от модифицированного. Они в шоке были, отдел из 8-10 человек в комнате, — все работают и в пол-уха слушают мой монолог про все эти дела.
И что тебе ответили?
Там нет специалистов в области кибербезопасности, только по обычным мошенничествам. То есть что-то доказать почти невозможно, а после моей демонстрации всех трюков с приложениями / банком они просто разводят руками. Хотя общее впечатление о них осталось довольно хорошее.
На чем вы сошлись? Твоей информации было достаточно для того, чтобы пофиксить дыру в безопасности?
Ну, я не описывал технические детали, а просто демонстрировал. Повторяю, они не разбираются в IT на уровне программистов.
В итоге я написал объяснение на имя председателя правления ПриватБанка Дубилета, в котором все рассказал. Написал, что в случае интересных предложений готов помочь устранить данную проблему. Сегодня начальник СБ ПриватБанка должен идти к председателю и за круглым столом обсудить этот вопрос. Жду их решения. Ну вот и все, как-то так.
Но если все было именно так, то почему Приват заявляет о том, что сначала были попытки взлома и уже только потом ты обратился в Службу безопасности банка?
Ну да, Приват же в шоке: им тоже движуху надо поднять, что они что-то делают.
Хм, логично. Значит все-таки не было никаких попыток “мошеннических транзакций”?
Я попытался несколько раз сделать перевод средств при помощи получения 4 последних цифр карты. У меня это получилось. Чтобы никого не подставлять, сделал перевод на свою карту. После успешного перевода написал в твиттер банка. Потом сотруднику банка. Все эти действия показал и рассказал в объяснении. В СБ ПриватБанка предложил сделать перевод на карту Дубилета, мы посмеялись и все.
Кстати, когда демонстрировал проблемы приложения Приват24, предложил все сделать на телефоне / приложении сотрудника СБ. Он сказал, мол, не надо, а то у меня сейчас что-то уведешь, давай со своего.
То есть то, что назвали «мошенническими транзакциями», — это были твои тестовые попытки перевести деньги с одной карточки на другую?
Чтобы доказать, что уязвимость есть, нужно убедиться в работоспособности методов. Для этого случайным образом из базы данных ПриватБанка был выбран человек (фамилия у него как то на «У» начинается, не помню уже). Ну я доказал и пошел все показывать. Опять-таки все описал в объяснительной записке.
То есть ты перечислил деньги со счета случайного человека чисто для демонстрации? Сколько, кстати?
Вроде 430 или 450 грн. Кстати, средства, конечно же, были возвращены назад владельцу.
Окей, спасибо за комментарий. Надеемся, ситуация разрешится оптимальным образом.
Если Вам известны «слабые места» в банковских системах, а также любых веб-ресурсах ПриватБанка, сообщите об этом нам и получите вознаграждение до 10 000 гривен в случае подтверждения и устранения уязвимости специалистами Банка.
Крупнейший украинский банк ПриватБанк объявил о завершении контракта с первым заместителем председателя правления - руководителем IT-департамента Никитой Волковым
Дочь учится на 5 курсе Информационной Безопасности в Харьковском университете радиоэлектроники. На первой же лекции четыре года назад преподаватели сказали, что Приват - самый незащищенный банк!!! Очень экономят они на информационной безопасности, потому и попадают вечно. Препод советовал студентам не иметь дел с Приватом... Вот так...
Хорошо, что я своевременно отказался от этого быдлятника.
Кстати, 3 года назад они хотели набор модулей для всех e-commerce CMS`ок за 200 баксов (пруф http://habrahabr.ru/post/85208/). Клоуны тупорылые.
Добавлено в 13:10
Цитата (muty @ 9.09.2013 - 13:46)
Дочь учится на 5 курсе Информационной Безопасности в Харьковском университете радиоэлектроники. На первой же лекции четыре года назад преподаватели сказали, что Приват - самый незащищенный банк!!! Очень экономят они на информационной безопасности, потому и попадают вечно. Препод советовал студентам не иметь дел с Приватом... Вот так...
Учился там же, 10 лет назад о привате говорили то же самое. Даже по тем временам, когда средняя ставка для специалиста по безопасности была в районе 800-1000 баксов, они жмотились и набирали людей с улицы за полтыщи гривен, лишь бы закрыть вакансии, попилить сэкономленное бапло и отчитаться перед инвесторами.
З.Ы.: Иван Дмитриевич до сих пор зав кафедрой?)
Это сообщение отредактировал idkfa99 - 9 сен 2013 в 13:05
А то! Живет и здравствует! Именно он про все и рассказывал И Виктор Иванович жив-здоров, не взирая на почтенный возраст. Только вот 3 сентября ректора похоронили...
Это сообщение отредактировал muty - 9 сен 2013 в 13:14
Приватбанк это то ещё сборище аферистов, одна только система начисления процентов чего стоит, 10% годовых на остаток собственных средств по карте «Универсальная» начисляются на такназываемый бонусный счет, это чтото типа продуктовых талонов, снять деньги с него нельзя, можно только потратить и не везде, а только в тех магазинах, которые поддерживают бонусную программу привата и только если ты говориш кассиру расплатится за покупки с бонусного счета, в общем приватбанк любит и ценит своих клиентов Это сообщение отредактировал Zur13 - 9 сен 2013 в 14:02
Поступок со стороны Привата непорядочный, но юридически они правы. Этот парень в интервью сам признал, что для демонстрации этой дыры он перевел 430 или 450 гривен с счета какого-то неизвестного клиента на свой и это в присутствии сотрудника Привата. Так что ситуация для парня паршивая.
Поступок со стороны Привата непорядочный, но юридически они правы. Этот парень в интервью сам признал, что для демонстрации этой дыры он перевел 430 или 450 гривен с счета какого-то неизвестного клиента на свой и это в присутствии сотрудника Привата. Так что ситуация для парня паршивая.
Юридически - любую попытку по нахождению багов в продакшене можно трактовать как "незаконное вмешательство в работу электронно-вычислительных машин" :) Но: - счет этот-не клиента, а банка (даже на карточке написано, что карточка-собственность банка) - деньги на счету клиента - это не деньги клиента, а обязательства банка. То есть просто была операция перекладывания из одного кармана банка, в другой. С последующим возвратом, и без злого умысла. Приводимая аналогия с угоном машины - неуместна. Скорее тогда так: машину поставили на автостоянку. И она там стоит. По определенным причинам, вашу машину переставили. И потом снова вернули на место. Вопрос - является ли это угоном? Если бы чувак деньги вывел - таки да, это угон кража. А тут все операции - в пределах одной автостоянки Это сообщение отредактировал solomenka - 9 сен 2013 в 23:23
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
yaplakal.com
solomenka9 сен 2013 в 12:08