Твитнуть
Студент показал уязвимость «ПриватБанка», после чего его обвинили в краже.
Учащийся КПИ сообщил, что крупнейший банк страны решил наказать его за обнаруженные в компьютерной системе финучреждения недоработки
Киев, 11 сентября – АиФ Украина. Студент КПИ Алексей Мохов нашел уязвимость в Android-приложении системы «Приват24», принадлежащей «ПриватБанку». По словам учащегося, в ответ клерки обвинили его в попытке украсть средства со счетов клиентов банка.
Программист рассказал, что исследовал протокол связи с банком в мобильном приложении финучреждения, заметил несколько ошибок в системе безопасности, после чего «начал глубже копаться в них».
Вскоре он выяснил, что банк позволял переводить средства с карты на карту «хоть в другой банк, хоть в другую страну (через Visa/Mastercard), а также давал доступ к личным данным человека. Парень лично обратился в службу безопасности финучреждения Игоря Коломойского, чтобы сообщить им о своей находке.
«Я попытался несколько раз сделать перевод средств при помощи получения 4 последних цифр карты, – рассказал студент. – У меня это получилось. Чтобы никого не подставлять, сделал перевод на свою карту. После успешного перевода написал в твиттер банка. Потом сотруднику банка. Все эти действия показал и рассказал в объяснении».
Комментируя обвинения банка в «мошенничестве с транзакциями», Мохов заметил, что хотел показать уязвимость системы. «Для этого случайным образом из базы данных «ПриватБанка» был выбран человек (фамилия у него как то на У начинается, не помню уже), – сообщил студент. – Ну, я доказал и пошел все показывать. Опять-таки все описал в объяснительной записке».
На момент публикации новости комментариев от «ПриватБанка» по этой теме не было.
Диалог журналиста с ним.
Сейчас я занимаюсь софтом для служб такси в Киеве (как-то так вышло, что занесло в эту степь, раньше работал в Samsung & Viewdle). Так вот. Стояла задача периодически проверять баланс банковских карт ПриватБанка ну и если надо — переводить средства на другую карту. Почему ПриватБанка? Потому что у них одна из самых больших сетей ТСО (терминалов самообслуживания). Схема такова — таксист подходит к ТСО, приложение для пополнения счета в такси запрашивает номер карты, система выдает ему карту и ожидает поступления средств. Как только средства упали на карту — зачисляет средства в системе такси.
В ходе исследования протокола связи с банком я заметил пару ошибок в системе безопасности. Начал глубже копаться в них. Оказалось, что банк позволял еще и переводить средства с карты на карту хоть в другой банк, хоть в другую страну (через Visa/Mastercard). Это помимо доступа к конфиденциальным данным человека (баланс, счета, кредиты, депозиты в банке).
После проведения экспертизы я написал об этом в твиттер, связавшись с аккаунтом ПриватБанка. Помимо этого написал сотруднику ПриватБанка в Днепропетровск, чтобы на меня быстрее вышла Служба безопасности банка.
В тот же день вечером ПриватБанк из штабквартиры в Днепре написал служебку в Киевское отделение Привата на Печерске, написали само собой в отдел СБ. Со мной созвонился представитель Привата В. Максименко и предложил встретиться, показать и рассказать что там да как. Произвел впечатление опытного специалиста, никто не давил на меня (вроде даже и не думали).
Ну я приехал, показал и рассказал, как программисты Привата допустили дыру в безопасности. Показал, как можно подставить в принципе любого человека, даже председателя правления Привата. Еще я подменил официальное приложение банка (добавил в него свой код) и показал, что можно сделать с ним. Почти нереально отличить официальное от модифицированного. Они в шоке были, отдел из 8-10 человек в комнате, — все работают и в пол-уха слушают мой монолог про все эти дела.
И что тебе ответили?
Там нет специалистов в области кибербезопасности, только по обычным мошенничествам. То есть что-то доказать почти невозможно, а после моей демонстрации всех трюков с приложениями / банком они просто разводят руками. Хотя общее впечатление о них осталось довольно хорошее.
На чем вы сошлись? Твоей информации было достаточно для того, чтобы пофиксить дыру в безопасности?
Ну, я не описывал технические детали, а просто демонстрировал. Повторяю, они не разбираются в IT на уровне программистов.
В итоге я написал объяснение на имя председателя правления ПриватБанка Дубилета, в котором все рассказал. Написал, что в случае интересных предложений готов помочь устранить данную проблему. Сегодня начальник СБ ПриватБанка должен идти к председателю и за круглым столом обсудить этот вопрос. Жду их решения. Ну вот и все, как-то так.
Но если все было именно так, то почему Приват заявляет о том, что сначала были попытки взлома и уже только потом ты обратился в Службу безопасности банка?
Ну да, Приват же в шоке: им тоже движуху надо поднять, что они что-то делают.
Хм, логично. Значит все-таки не было никаких попыток “мошеннических транзакций”?
Я попытался несколько раз сделать перевод средств при помощи получения 4 последних цифр карты. У меня это получилось. Чтобы никого не подставлять, сделал перевод на свою карту. После успешного перевода написал в твиттер банка. Потом сотруднику банка. Все эти действия показал и рассказал в объяснении. В СБ ПриватБанка предложил сделать перевод на карту Дубилета, мы посмеялись и все.
Кстати, когда демонстрировал проблемы приложения Приват24, предложил все сделать на телефоне / приложении сотрудника СБ. Он сказал, мол, не надо, а то у меня сейчас что-то уведешь, давай со своего.
То есть то, что назвали «мошенническими транзакциями», — это были твои тестовые попытки перевести деньги с одной карточки на другую?
Чтобы доказать, что уязвимость есть, нужно убедиться в работоспособности методов. Для этого случайным образом из базы данных ПриватБанка был выбран человек (фамилия у него как то на «У» начинается, не помню уже). Ну я доказал и пошел все показывать. Опять-таки все описал в объяснительной записке.
То есть ты перечислил деньги со счета случайного человека чисто для демонстрации? Сколько, кстати?
Вроде 430 или 450 грн. Кстати, средства, конечно же, были возвращены назад владельцу.
Учащийся КПИ сообщил, что крупнейший банк страны решил наказать его за обнаруженные в компьютерной системе финучреждения недоработки
Киев, 11 сентября – АиФ Украина. Студент КПИ Алексей Мохов нашел уязвимость в Android-приложении системы «Приват24», принадлежащей «ПриватБанку». По словам учащегося, в ответ клерки обвинили его в попытке украсть средства со счетов клиентов банка.
Программист рассказал, что исследовал протокол связи с банком в мобильном приложении финучреждения, заметил несколько ошибок в системе безопасности, после чего «начал глубже копаться в них».
Вскоре он выяснил, что банк позволял переводить средства с карты на карту «хоть в другой банк, хоть в другую страну (через Visa/Mastercard), а также давал доступ к личным данным человека. Парень лично обратился в службу безопасности финучреждения Игоря Коломойского, чтобы сообщить им о своей находке.
«Я попытался несколько раз сделать перевод средств при помощи получения 4 последних цифр карты, – рассказал студент. – У меня это получилось. Чтобы никого не подставлять, сделал перевод на свою карту. После успешного перевода написал в твиттер банка. Потом сотруднику банка. Все эти действия показал и рассказал в объяснении».
Комментируя обвинения банка в «мошенничестве с транзакциями», Мохов заметил, что хотел показать уязвимость системы. «Для этого случайным образом из базы данных «ПриватБанка» был выбран человек (фамилия у него как то на У начинается, не помню уже), – сообщил студент. – Ну, я доказал и пошел все показывать. Опять-таки все описал в объяснительной записке».
На момент публикации новости комментариев от «ПриватБанка» по этой теме не было.
Диалог журналиста с ним.
Сейчас я занимаюсь софтом для служб такси в Киеве (как-то так вышло, что занесло в эту степь, раньше работал в Samsung & Viewdle). Так вот. Стояла задача периодически проверять баланс банковских карт ПриватБанка ну и если надо — переводить средства на другую карту. Почему ПриватБанка? Потому что у них одна из самых больших сетей ТСО (терминалов самообслуживания). Схема такова — таксист подходит к ТСО, приложение для пополнения счета в такси запрашивает номер карты, система выдает ему карту и ожидает поступления средств. Как только средства упали на карту — зачисляет средства в системе такси.
В ходе исследования протокола связи с банком я заметил пару ошибок в системе безопасности. Начал глубже копаться в них. Оказалось, что банк позволял еще и переводить средства с карты на карту хоть в другой банк, хоть в другую страну (через Visa/Mastercard). Это помимо доступа к конфиденциальным данным человека (баланс, счета, кредиты, депозиты в банке).
После проведения экспертизы я написал об этом в твиттер, связавшись с аккаунтом ПриватБанка. Помимо этого написал сотруднику ПриватБанка в Днепропетровск, чтобы на меня быстрее вышла Служба безопасности банка.
В тот же день вечером ПриватБанк из штабквартиры в Днепре написал служебку в Киевское отделение Привата на Печерске, написали само собой в отдел СБ. Со мной созвонился представитель Привата В. Максименко и предложил встретиться, показать и рассказать что там да как. Произвел впечатление опытного специалиста, никто не давил на меня (вроде даже и не думали).
Ну я приехал, показал и рассказал, как программисты Привата допустили дыру в безопасности. Показал, как можно подставить в принципе любого человека, даже председателя правления Привата. Еще я подменил официальное приложение банка (добавил в него свой код) и показал, что можно сделать с ним. Почти нереально отличить официальное от модифицированного. Они в шоке были, отдел из 8-10 человек в комнате, — все работают и в пол-уха слушают мой монолог про все эти дела.
И что тебе ответили?
Там нет специалистов в области кибербезопасности, только по обычным мошенничествам. То есть что-то доказать почти невозможно, а после моей демонстрации всех трюков с приложениями / банком они просто разводят руками. Хотя общее впечатление о них осталось довольно хорошее.
На чем вы сошлись? Твоей информации было достаточно для того, чтобы пофиксить дыру в безопасности?
Ну, я не описывал технические детали, а просто демонстрировал. Повторяю, они не разбираются в IT на уровне программистов.
В итоге я написал объяснение на имя председателя правления ПриватБанка Дубилета, в котором все рассказал. Написал, что в случае интересных предложений готов помочь устранить данную проблему. Сегодня начальник СБ ПриватБанка должен идти к председателю и за круглым столом обсудить этот вопрос. Жду их решения. Ну вот и все, как-то так.
Но если все было именно так, то почему Приват заявляет о том, что сначала были попытки взлома и уже только потом ты обратился в Службу безопасности банка?
Ну да, Приват же в шоке: им тоже движуху надо поднять, что они что-то делают.
Хм, логично. Значит все-таки не было никаких попыток “мошеннических транзакций”?
Я попытался несколько раз сделать перевод средств при помощи получения 4 последних цифр карты. У меня это получилось. Чтобы никого не подставлять, сделал перевод на свою карту. После успешного перевода написал в твиттер банка. Потом сотруднику банка. Все эти действия показал и рассказал в объяснении. В СБ ПриватБанка предложил сделать перевод на карту Дубилета, мы посмеялись и все.
Кстати, когда демонстрировал проблемы приложения Приват24, предложил все сделать на телефоне / приложении сотрудника СБ. Он сказал, мол, не надо, а то у меня сейчас что-то уведешь, давай со своего.
То есть то, что назвали «мошенническими транзакциями», — это были твои тестовые попытки перевести деньги с одной карточки на другую?
Чтобы доказать, что уязвимость есть, нужно убедиться в работоспособности методов. Для этого случайным образом из базы данных ПриватБанка был выбран человек (фамилия у него как то на «У» начинается, не помню уже). Ну я доказал и пошел все показывать. Опять-таки все описал в объяснительной записке.
То есть ты перечислил деньги со счета случайного человека чисто для демонстрации? Сколько, кстати?
Вроде 430 или 450 грн. Кстати, средства, конечно же, были возвращены назад владельцу.
Комментарий