dober: (stalker)
[personal profile] dober
Меня тут директора-клиенты спрашивают иногда: почему мы не работаем с ПриватБанком? Ведь дешево и быстро (если не тупит)? Т.к. твиттер они не используют, все никак не мог проиллюстрировать суЧЪность этой богомерзкой шарашкиной конторы. Но вот информация подтвердилась и т.к. это затронуло еще и соседа по бизнесу - думаю, будет удачная иллюстрация.



Краткое изложение событий со стороны Алексея:

Сейчас я занимаюсь софтом для служб такси в Киеве (как-то так вышло, что занесло в эту степь, раньше работал в Samsung & Viewdle). Так вот. Стояла задача периодически проверять баланс банковских карт ПриватБанка ну и если надо — переводить средства на другую карту. Почему ПриватБанка? Потому что у них одна из самых больших сетей ТСО (терминалов самообслуживания). Схема такова — таксист подходит к ТСО, приложение для пополнения счета в такси запрашивает номер карты, система выдает ему карту и ожидает поступления средств. Как только средства упали на карту — зачисляет средства в системе такси.

В ходе исследования протокола связи с банком я заметил пару ошибок в системе безопасности. Начал глубже копаться в них. Оказалось, что банк позволял еще и переводить средства с карты на карту хоть в другой банк, хоть в другую страну (через Visa/Mastercard). Это помимо доступа к конфиденциальным данным человека (баланс, счета, кредиты, депозиты в банке).

После проведения экспертизы я написал об этом в твиттер, связавшись с аккаунтом ПриватБанка. Помимо этого написал сотруднику ПриватБанка в Днепропетровск, чтобы на меня быстрее вышла Служба безопасности банка.

В тот же день вечером ПриватБанк из штабквартиры в Днепре написал служебку в Киевское отделение Привата на Печерске, написали само собой в отдел СБ. Со мной созвонился представитель Привата В. Максименко и предложил встретиться, показать и рассказать что там да как. Произвел впечатление опытного специалиста, никто не давил на меня (вроде даже и не думали).

Ну я приехал, показал и рассказал, как программисты Привата допустили дыру в безопасности. Показал, как можно подставить в принципе любого человека, даже председателя правления Привата. Еще я подменил официальное приложение банка (добавил в него свой код) и показал, что можно сделать с ним. Почти нереально отличить официальное от модифицированного. Они в шоке были, отдел из 8-10 человек в комнате, — все работают и в пол-уха слушают мой монолог про все эти дела.


Реакция пресс-службы Привата:

«Нужно понимать, что он хакер. В цивилизованных странах это уже преступление. Изъян в системе, который он нашел, не является страшным, не особенно угрожает клиентам банка. Как только Мохов попытался перевести чужие деньги, наша система безопасности забила тревогу. Его бы обязательно нашли», – говорит начальник пресс-службы «ПриватБанка» Олег Серьга.

Банк ведет расследование попытки взлома своей системы безопасности программистом Алексеем Моховым. В ближайшие две недели руководство банка решит, возбуждать ли дело по этому факту.



Отдельно радует уверенность пресс-службы в том, что решение о возбуждении дела принимает именно руководство ПриватБанка, а не какой-нибудь там следователь.

Date: 12 Sep 2013 14:58 (UTC)
From: [identity profile] sashman.livejournal.com
давно понятно, что с тERRORистами из ПБ переговоры вести не надо, а немедленно продавать наработки злoxакерам

Date: 12 Sep 2013 17:05 (UTC)
From: [identity profile] dobergroup.livejournal.com
))
В обновлении Приват24 для Android (4.8.0) уязвимость осталась.

Date: 12 Sep 2013 17:08 (UTC)
From: [identity profile] dobergroup.livejournal.com
Огласка на этот раз помогла - вопрос замяли: https://twitter.com/DoberGroup/status/378199873935257601

Кому интересны подробности - читайте интервью тут: http://kpishnik.kpi.ua/archives/1114 или FF @vertuozzo (https://twitter.com/vertuozzo)
Edited Date: 12 Sep 2013 17:11 (UTC)

Date: 12 Sep 2013 18:40 (UTC)
From: [identity profile] sashman.livejournal.com
о как оно выходит

так твой коллега -- полный дурак, еще и в статье об этом так написал, как будто бы это само собой разумеющееся -- тырить у посторонних людей бабки

короче, сам себя и слил

Date: 13 Sep 2013 10:15 (UTC)
From: [identity profile] dobergroup.livejournal.com
Тебя не смущает, что статья была позже?

Date: 13 Sep 2013 11:19 (UTC)
From: [identity profile] sashman.livejournal.com
меня смущает, что основой для инцидента стали действия, чётко являющиеся криминалом. Без всяких двойных толкований типа "я только пальчиком потыкал", или "я только между своими счетами".

"Суд может принять во внимание отсутствие злого умысла и выбрать условную меру наказания", как-то так.

короче, в сложившийся ситуации аффтар сам себе злобный буратина, приватбанк среагировал настолько адеквтатно, насколько вообще могла среагировать эта копрорация.

И - да, есть люди нормально работающие с ПБ и коллектящие баунти за найденные дыры. Они, конечно, тоже плюются на ПБ, но при этом законов не нарушают.
Edited Date: 13 Sep 2013 11:19 (UTC)

Date: 13 Sep 2013 12:03 (UTC)
From: [identity profile] dobergroup.livejournal.com
Криминала тут нет и в помине.
Для обвинения в мошенничестве нужен умысел. Тут же - обратная ситуация
Для обвинения во вмешательстве в ст. 361 - необходим сам факт незаконного вмешательства, а не использование общеизвестного открытого протокола. Использование модифицированного кода происходила уже с санкции представителя правообладателя

Date: 13 Sep 2013 12:11 (UTC)
From: [identity profile] dobergroup.livejournal.com
Вот это уже более адекватная реакция: http://interfax.com.ua/news/economic/167223.html
Проснулось начальство и надавало по голове

July 2014

S M T W T F S
  12 345
6789101112
13141516171819
20212223242526
2728293031  

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated 22 September 2017 04:33
Powered by Dreamwidth Studios