![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
doberМеня тут директора-клиенты спрашивают иногда: почему мы не работаем с ПриватБанком? Ведь дешево и быстро (если не тупит)? Т.к. твиттер они не используют, все никак не мог проиллюстрировать суЧЪность этой богомерзкой шарашкиной конторы. Но вот информация подтвердилась и т.к. это затронуло еще и соседа по бизнесу - думаю, будет удачная иллюстрация.
Краткое изложение событий со стороны Алексея:
Сейчас я занимаюсь софтом для служб такси в Киеве (как-то так вышло, что занесло в эту степь, раньше работал в Samsung & Viewdle). Так вот. Стояла задача периодически проверять баланс банковских карт ПриватБанка ну и если надо — переводить средства на другую карту. Почему ПриватБанка? Потому что у них одна из самых больших сетей ТСО (терминалов самообслуживания). Схема такова — таксист подходит к ТСО, приложение для пополнения счета в такси запрашивает номер карты, система выдает ему карту и ожидает поступления средств. Как только средства упали на карту — зачисляет средства в системе такси.
В ходе исследования протокола связи с банком я заметил пару ошибок в системе безопасности. Начал глубже копаться в них. Оказалось, что банк позволял еще и переводить средства с карты на карту хоть в другой банк, хоть в другую страну (через Visa/Mastercard). Это помимо доступа к конфиденциальным данным человека (баланс, счета, кредиты, депозиты в банке).
После проведения экспертизы я написал об этом в твиттер, связавшись с аккаунтом ПриватБанка. Помимо этого написал сотруднику ПриватБанка в Днепропетровск, чтобы на меня быстрее вышла Служба безопасности банка.
В тот же день вечером ПриватБанк из штабквартиры в Днепре написал служебку в Киевское отделение Привата на Печерске, написали само собой в отдел СБ. Со мной созвонился представитель Привата В. Максименко и предложил встретиться, показать и рассказать что там да как. Произвел впечатление опытного специалиста, никто не давил на меня (вроде даже и не думали).
Ну я приехал, показал и рассказал, как программисты Привата допустили дыру в безопасности. Показал, как можно подставить в принципе любого человека, даже председателя правления Привата. Еще я подменил официальное приложение банка (добавил в него свой код) и показал, что можно сделать с ним. Почти нереально отличить официальное от модифицированного. Они в шоке были, отдел из 8-10 человек в комнате, — все работают и в пол-уха слушают мой монолог про все эти дела.
Реакция пресс-службы Привата:
«Нужно понимать, что он хакер. В цивилизованных странах это уже преступление. Изъян в системе, который он нашел, не является страшным, не особенно угрожает клиентам банка. Как только Мохов попытался перевести чужие деньги, наша система безопасности забила тревогу. Его бы обязательно нашли», – говорит начальник пресс-службы «ПриватБанка» Олег Серьга.
Банк ведет расследование попытки взлома своей системы безопасности программистом Алексеем Моховым. В ближайшие две недели руководство банка решит, возбуждать ли дело по этому факту.
Отдельно радует уверенность пресс-службы в том, что решение о возбуждении дела принимает именно руководство ПриватБанка, а не какой-нибудь там следователь.
Краткое изложение событий со стороны Алексея:
Сейчас я занимаюсь софтом для служб такси в Киеве (как-то так вышло, что занесло в эту степь, раньше работал в Samsung & Viewdle). Так вот. Стояла задача периодически проверять баланс банковских карт ПриватБанка ну и если надо — переводить средства на другую карту. Почему ПриватБанка? Потому что у них одна из самых больших сетей ТСО (терминалов самообслуживания). Схема такова — таксист подходит к ТСО, приложение для пополнения счета в такси запрашивает номер карты, система выдает ему карту и ожидает поступления средств. Как только средства упали на карту — зачисляет средства в системе такси.
В ходе исследования протокола связи с банком я заметил пару ошибок в системе безопасности. Начал глубже копаться в них. Оказалось, что банк позволял еще и переводить средства с карты на карту хоть в другой банк, хоть в другую страну (через Visa/Mastercard). Это помимо доступа к конфиденциальным данным человека (баланс, счета, кредиты, депозиты в банке).
После проведения экспертизы я написал об этом в твиттер, связавшись с аккаунтом ПриватБанка. Помимо этого написал сотруднику ПриватБанка в Днепропетровск, чтобы на меня быстрее вышла Служба безопасности банка.
В тот же день вечером ПриватБанк из штабквартиры в Днепре написал служебку в Киевское отделение Привата на Печерске, написали само собой в отдел СБ. Со мной созвонился представитель Привата В. Максименко и предложил встретиться, показать и рассказать что там да как. Произвел впечатление опытного специалиста, никто не давил на меня (вроде даже и не думали).
Ну я приехал, показал и рассказал, как программисты Привата допустили дыру в безопасности. Показал, как можно подставить в принципе любого человека, даже председателя правления Привата. Еще я подменил официальное приложение банка (добавил в него свой код) и показал, что можно сделать с ним. Почти нереально отличить официальное от модифицированного. Они в шоке были, отдел из 8-10 человек в комнате, — все работают и в пол-уха слушают мой монолог про все эти дела.
Реакция пресс-службы Привата:
«Нужно понимать, что он хакер. В цивилизованных странах это уже преступление. Изъян в системе, который он нашел, не является страшным, не особенно угрожает клиентам банка. Как только Мохов попытался перевести чужие деньги, наша система безопасности забила тревогу. Его бы обязательно нашли», – говорит начальник пресс-службы «ПриватБанка» Олег Серьга.
Банк ведет расследование попытки взлома своей системы безопасности программистом Алексеем Моховым. В ближайшие две недели руководство банка решит, возбуждать ли дело по этому факту.
Отдельно радует уверенность пресс-службы в том, что решение о возбуждении дела принимает именно руководство ПриватБанка, а не какой-нибудь там следователь.
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 13 Sep 2013 11:19 (UTC)"Суд может принять во внимание отсутствие злого умысла и выбрать условную меру наказания", как-то так.
короче, в сложившийся ситуации аффтар сам себе злобный буратина, приватбанк среагировал настолько адеквтатно, насколько вообще могла среагировать эта копрорация.
И - да, есть люди нормально работающие с ПБ и коллектящие баунти за найденные дыры. Они, конечно, тоже плюются на ПБ, но при этом законов не нарушают.
no subject
Date: 13 Sep 2013 12:03 (UTC)Для обвинения в мошенничестве нужен умысел. Тут же - обратная ситуация
Для обвинения во вмешательстве в ст. 361 - необходим сам факт незаконного вмешательства, а не использование общеизвестного открытого протокола. Использование модифицированного кода происходила уже с санкции представителя правообладателя
no subject
Date: 13 Sep 2013 12:11 (UTC)Проснулось начальство и надавало по голове