• Main Page / Головна
  • Newsline / СТРІЧКА НОВИН
  • Archive / АРХІВ
  • Contacts / Контакти
  • RSS feed
  • This online newspaper has been in publication since September 9, 2005
  • Простой киевский студент поставил на колени систему безопасности крупнейшего банка
    2013-12-25 08:03:00

    КПИшник Алексей Мохов, бывший сотрудник украинских отделений мировых корпрораций, нашел слабые места в Android-приложении «Приват24». При этом парень связался со службой безопасности банка, чтобы обратить внимание на проблему. Но ПриватБанк ответил неожиданно, обвинив программиста в попытке украсть средства со счетов клиентов банка.

    Мы взяли у Алексея эксклюзивный комментарий, в котором он рассказал, как ему удалось обнаружить уязвимость в системе «Приват24», и почему банк неправ, обвиняя его в попытке мошенничества.

    - Сейчас я занимаюсь софтом для служб такси в Киеве (как-то так вышло, что занесло в эту степь, раньше работал в Samsung & Viewdle). Так вот. Стояла задача периодически проверять баланс банковских карт ПриватБанка ну и если надо — переводить средства на другую карту. Почему ПриватБанка? Потому что у них одна из самых больших сетей ТСО (терминалов самообслуживания). Схема такова — таксист подходит к ТСО, приложение для пополнения счета в такси запрашивает номер карты, система выдает ему карту и ожидает поступления средств. Как только средства упали на карту — зачисляет средства в системе такси.

    В ходе исследования протокола связи с банком я заметил пару ошибок в системе безопасности. Начал глубже копаться в них. Оказалось, что банк позволял еще и переводить средства с карты на карту хоть в другой банк, хоть в другую страну (через Visa/Mastercard). Это помимо доступа к конфиденциальным данным человека (баланс, счета, кредиты, депозиты в банке).

    После проведения экспертизы я написал об этом в твиттер, связавшись с аккаунтом ПриватБанка. Помимо этого написал сотруднику ПриватБанка в Днепропетровск, чтобы на меня быстрее вышла Служба безопасности банка.

    В тот же день вечером ПриватБанк из штаб-квартиры в Днепре написал служебку в Киевское отделение Привата на Печерске, написали само собой в отдел СБ. Со мной созвонился представитель Привата В. Максименко и предложил встретиться, показать и рассказать что там да как. Произвел впечатление опытного специалиста, никто не давил на меня (вроде даже и не думали).

    Ну я приехал, показал и рассказал, как программисты Привата допустили дыру в безопасности. Показал, как можно подставить в принципе любого человека, даже председателя правления Привата. Еще я подменил официальное приложение банка (добавил в него свой код) и показал, что можно сделать с ним. Почти нереально отличить официальное от модифицированного. Они в шоке были, отдел из 8-10 человек в комнате, — все работают и в пол-уха слушают мой монолог про все эти дела.

    - И что тебе ответили?

    - Там нет специалистов в области кибербезопасности, только по обычным мошенничествам. То есть что-то доказать почти невозможно, а после моей демонстрации всех трюков с приложениями / банком они просто разводят руками. Хотя общее впечатление о них осталось довольно хорошее.

    - На чем вы сошлись? Твоей информации было достаточно для того, чтобы пофиксить дыру в безопасности?

    - Ну, я не описывал технические детали, а просто демонстрировал. Повторяю, они не разбираются в IT на уровне программистов.

    В итоге я написал объяснение на имя председателя правления ПриватБанка Дубилета, в котором все рассказал. Написал, что в случае интересных предложений готов помочь устранить данную проблему. Сегодня начальник СБ ПриватБанка должен идти к председателю и за круглым столом обсудить этот вопрос. Жду их решения. Ну вот и все, как-то так.

    - Но если все было именно так, то почему Приват заявляет о том, что сначала были попытки взлома и уже только потом ты обратился в Службу безопасности банка?

    - Ну да, Приват же в шоке: им тоже движуху надо поднять, что они что-то делают.

    - Хм, логично. Значит все-таки не было никаких попыток “мошеннических транзакций”?

    - Я попытался несколько раз сделать перевод средств при помощи получения 4 последних цифр карты. У меня это получилось. Чтобы никого не подставлять, сделал перевод на свою карту. После успешного перевода написал в твиттер банка. Потом сотруднику банка. Все эти действия показал и рассказал в объяснении. В СБ ПриватБанка предложил сделать перевод на карту Дубилета, мы посмеялись и все.

    Кстати, когда демонстрировал проблемы приложения Приват24, предложил все сделать на телефоне / приложении сотрудника СБ. Он сказал, мол, не надо, а то у меня сейчас что-то уведешь, давай со своего.

    - То есть то, что назвали «мошенническими транзакциями», — это были твои тестовые попытки перевести деньги с одной карточки на другую?

    - Чтобы доказать, что уязвимость есть, нужно убедиться в работоспособности методов. Для этого случайным образом из базы данных ПриватБанка был выбран человек (фамилия у него как то на «У» начинается, не помню уже). Ну я доказал и пошел все показывать. Опять-таки все описал в объяснительной записке.

    - То есть ты перечислил деньги со счета случайного человека чисто для демонстрации? Сколько, кстати?

    - Вроде 430 или 450 грн. Кстати, средства, конечно же, были возвращены назад владельцу.

    Источник

    e-finance.com.ua

    Увага!!! При передруку матеріалів з E-FINANCE.COM.UA активне посилання (не закрите в теги noindex або nofollow, а саме відкрите!!!) на портал "Фінансові новини E-FINANCE.COM.UA" обов'язкове.

    WARNING! When reprinting materials from E-FINANCE.COM.UA, it is mandatory to include an active link (not closed in noindex or nofollow tags) to the portal "Finansovi novony E-FINANCE.COM.UA" that remains open.

    WARNUNG!!! Beim Nachdruck von Materialien von E-FINANCE.COM.UA ist ein aktiver Link (nicht geschlossen in Noindex- oder Nofollow-Tags, sondern offen!!!) zum Portal „Finansovi novony E-FINANCE.COM.UA“ obligatorisch.

    OSTRZEZENIE!!! Podczas przedrukowywania materialow z E-FINANCE.COM.UA, aktywny link (nie zamkniety w tagach noindex lub nofollow, ale raczej otwarty!!!) do portalu "Finansovi novony E-FINANCE.COM.UA" jest obowiazkowy.

    Внимание!!! При перепечатке материалов с E-FINANCE.COM.UA активная ссылка (не закрытая в теги noindex или nofollow, а именно открытая!!!) на портал "Финансовые новости E-FINANCE.COM.UA" обязательна.

    E-FINANCE.COM.UA
    E-mail: info@e-finance.com.ua

    © E-FINANCE.COM.UA. Усі права захищені. При використанні інформації в електронному вигляді активне посилання на e-finance.com.ua є обов'язковим. Думки авторів можуть збігатися з позицією редакції. За зміст реклами відповідальність несе рекламодавець. Права на інформацію належать e-finance.com.ua.

    © E-FINANCE.COM.UA. Alle Rechte vorbehalten.
    Bei der Nutzung von Informationen in elektronischer Form ist ein aktiver Hyperlink zu e-finance.com.ua erforderlich. Die Meinungen der Autoren stimmen möglicherweise nicht mit der redaktionellen Haltung überein. Für den Inhalt der Anzeigen ist der Werbetreibende verantwortlich. Die Informationsrechte liegen bei e-finance.com.ua.

    © E-FINANCE.COM.UA. All rights reserved.
    When utilizing information in electronic format, an active hyperlink to e-finance.com.ua is required. The opinions of the authors may not align with the editorial stance. The advertiser is responsible for the content of advertisements. Information rights belong to e-finance.com.ua.

    © E-FINANCE.COM.UA. Wszelkie prawa zastrzeżone.
    Podczas korzystania z informacji w formacie elektronicznym wymagane jest aktywne hiperłącze do e-finance.com.ua. Opinie autorów mogą nie pokrywać się ze stanowiskiem redakcji. Za treść ogłoszeń odpowiada reklamodawca. Prawa informacyjne należą do e-finance.com.ua.

    © E-FINANCE.COM.UA. Все права защищены.
    При использовании информации в электронном формате активная гиперссылка на e-finance.com.ua обязательна. Мнения авторов могут не совпадать с позицией редакции. Рекламодатель несет ответственность за содержание рекламных объявлений. Права на информацию принадлежат e-finance.com.ua.