Киевский студент взломал сайт крупнейшего банка Украины - 056.ua

Киевский студент взломал сайт крупнейшего банка Украины

КПИшник Алексей Мохов, бывший сотрудник украинских отделений мировых корпрораций, нашел слабые места в Android-приложении «Приват24». При этом парень связался со службой безопасности банка, чтобы обратить внимание на проблему. Но ПриватБанк ответил неожиданно, обвинив программиста в попытке украсть средства со счетов клиентов банка.

Мы взяли у Алексея эксклюзивный комментарий, в котором он рассказал, как ему удалось обнаружить уязвимость в системе «Приват24», и почему банк неправ, обвиняя его в попытке мошенничества.

- Сейчас я занимаюсь софтом для служб такси в Киеве (как-то так вышло, что занесло в эту степь, раньше работал в Samsung & Viewdle). Так вот. Стояла задача периодически проверять баланс банковских карт ПриватБанка ну и если надо — переводить средства на другую карту. Почему ПриватБанка? Потому что у них одна из самых больших сетей ТСО (терминалов самообслуживания). Схема такова — таксист подходит к ТСО, приложение для пополнения счета в такси запрашивает номер карты, система выдает ему карту и ожидает поступления средств. Как только средства упали на карту — зачисляет средства в системе такси.

В ходе исследования протокола связи с банком я заметил пару ошибок в системе безопасности. Начал глубже копаться в них. Оказалось, что банк позволял еще и переводить средства с карты на карту хоть в другой банк, хоть в другую страну (через Visa/Mastercard). Это помимо доступа к конфиденциальным данным человека (баланс, счета, кредиты, депозиты в банке).

После проведения экспертизы я написал об этом в твиттер, связавшись с аккаунтом ПриватБанка. Помимо этого написал сотруднику ПриватБанка в Днепропетровск, чтобы на меня быстрее вышла Служба безопасности банка.

В тот же день вечером ПриватБанк из штаб-квартиры в Днепре написал служебку в Киевское отделение Привата на Печерске, написали само собой в отдел СБ. Со мной созвонился представитель Привата В. Максименко и предложил встретиться, показать и рассказать что там да как. Произвел впечатление опытного специалиста, никто не давил на меня (вроде даже и не думали).

Ну я приехал, показал и рассказал, как программисты Привата допустили дыру в безопасности. Показал, как можно подставить в принципе любого человека, даже председателя правления Привата. Еще я подменил официальное приложение банка (добавил в него свой код) и показал, что можно сделать с ним. Почти нереально отличить официальное от модифицированного. Они в шоке были, отдел из 8-10 человек в комнате, — все работают и в пол-уха слушают мой монолог про все эти дела.

- И что тебе ответили?

- Там нет специалистов в области кибербезопасности, только по обычным мошенничествам. То есть что-то доказать почти невозможно, а после моей демонстрации всех трюков с приложениями / банком они просто разводят руками. Хотя общее впечатление о них осталось довольно хорошее.

- На чем вы сошлись? Твоей информации было достаточно для того, чтобы пофиксить дыру в безопасности?

- Ну, я не описывал технические детали, а просто демонстрировал. Повторяю, они не разбираются в IT на уровне программистов.

В итоге я написал объяснение на имя председателя правления ПриватБанка Дубилета, в котором все рассказал. Написал, что в случае интересных предложений готов помочь устранить данную проблему. Сегодня начальник СБ ПриватБанка должен идти к председателю и за круглым столом обсудить этот вопрос. Жду их решения. Ну вот и все, как-то так.

- Но если все было именно так, то почему Приват заявляет о том, что сначала были попытки взлома и уже только потом ты обратился в Службу безопасности банка?

- Ну да, Приват же в шоке: им тоже движуху надо поднять, что они что-то делают.

- Хм, логично. Значит все-таки не было никаких попыток “мошеннических транзакций”?

- Я попытался несколько раз сделать перевод средств при помощи получения 4 последних цифр карты. У меня это получилось. Чтобы никого не подставлять, сделал перевод на свою карту. После успешного перевода написал в твиттер банка. Потом сотруднику банка. Все эти действия показал и рассказал в объяснении. В СБ ПриватБанка предложил сделать перевод на карту Дубилета, мы посмеялись и все.

Кстати, когда демонстрировал проблемы приложения Приват24, предложил все сделать на телефоне / приложении сотрудника СБ. Он сказал, мол, не надо, а то у меня сейчас что-то уведешь, давай со своего.

- То есть то, что назвали «мошенническими транзакциями», — это были твои тестовые попытки перевести деньги с одной карточки на другую?

- Чтобы доказать, что уязвимость есть, нужно убедиться в работоспособности методов. Для этого случайным образом из базы данных ПриватБанка был выбран человек (фамилия у него как то на «У» начинается, не помню уже). Ну я доказал и пошел все показывать. Опять-таки все описал в объяснительной записке.

- То есть ты перечислил деньги со счета случайного человека чисто для демонстрации? Сколько, кстати?

- Вроде 430 или 450 грн. Кстати, средства, конечно же, были возвращены назад владельцу.

Если вы заметили ошибку, выделите необходимый текст и нажмите Ctrl+Enter, чтобы сообщить об этом редакции
Актуальность
(0 оценок)
Оперативность
(0 оценок)
Ошибки
(0 оценок)
Информативность
(0 оценок)
Я рекомендую
Пока никто не рекомендует

Комментарии

Общество
В Днепре подходит к концу 23 января, а значит время подводить итоги. 056 выделяет главные события уходящего дня. Сегодня прошла первая сессия горсовета, на которой рассмотрели множество вопросов. Среди них организационные, кадровые, земельные и финансово-бюджетные. А также программы развития отраслей и сфер городского хозяйства, архитектуры. Вскоре опубликуют в департаменте ЖКХ новый порядок о создании ОСМД и передачи домов из жилого городского фонда. Такж...
Общество
В Днепропетровской области на трассах осложнений движения и пробок нет. Об этом корреспонденту 056 сообщила пресс-секретарь ГСЧС в Днепропетровской области Дарья Гречищева. По состоянию на 23 января на 18:00 на территории области проезд по трассам обеспечен, осложнений движения из-за аварий и погодных условий нет. Высота снежного покрова от 5 до 17 сантиметров в зависимости от участка дороги. До сих пор идет снег в Кривом Роге, Першотравенском, Новомосковс...
СПИСОК АДРЕСОВ
Завтра, 24 января, в некоторых районах Днепра отключат электричество. Это связано с техническим обслуживанием. Об этом сообщили в пресс-службе "ДТЭК Днепроблэнерго". СПИСОК АДРЕСОВ: Центральный район: пр. Яворницкого  87-91, 95, ресторан "Юбилейный", ул.Андрея Фабра 4, 8 маг-н "Цветы" "Сафари", Налоговая инспекция Соборный район: пр-т Гагарина 169, 171, 173, 176; "АТБ-Маркет" (пр. Гагарина,169); Стомат. кабинет ФЛП Муратова (пр. Гагарина, 171); "СВ-почта"...
Общество
На Днепропетровщине бойцов с АТО приглашают на бесплатную реабилитацию в бассейн и тренажерный зал СК «Метеор». Об этом сообщает пресс-служба ДнепрОГА. Курс реабилитации продлится три месяца - с февраля по апрель. Посещать «Метеор» можно будет дважды в неделю: раз в будний день с 10:30 до 14:30 и раз в субботу с 6:00 до 22:00. С собой необходимо брать удостоверение участника боевых действий, справку от терапевта и дерматолога о том, что нет противопоказан...
Происшествия
В Днепре полицейским сообщили о минировании ресторана в центре. Об этом сообщает пресс-служба ГУНП в Днепре. Сегодня около 14:30 в полицию сообщили о минировании ресторана в Соборном районе. Приехали полицейские, взрывотехники и эвакуировали посетителей с персоналом заведения. Информация не подтвердилась, во время проверки взрывчатых или опасных предметов не обнаружили. Сейчас решается вопрос об открытии уголовного производства. Читайте также: В Днепре...
Общество
В среду, 23 января, состоялась первая сессия в 2019 году днепровского городского совета. Об этом сообщает корреспондент 056 с места событий. Перед началом сессии мэр Днепра и депутаты почтили погибших украинских воинов минутой молчания. После поздравили именинников января. На 40 очередной сессии городского совета зарегистрировалось 46 депутатов. И после регистрации традиционно прозвучал гимн Украины. На повестке дня рассмотрели вопросы коммунальной собстве...
Новости компаний
В Украине запустили новый банковский сервис выдачи наличных на кассе при оплате картой – «Наличные на кассе». Эта привычная для Европы услуга запущена ПриватБанком, Mastercard и сетью АЗК WOG и уже доступна клиентам крупнейшего украинского банка и национальной сети заправок. «Покупка с выдачей налички – это сервис, которым охотно пользуются жители большинства европейских стран, а теперь и украинцы, – говорит руководитель направления по работе с торговыми п...
Новости компаний
Многие из нас, заканчивая ремонт, сталкиваются с проблемой выбора штор. Так как ремонт делается достаточно редко, раз в 10-20 лет, а в школе нет специальных дисциплин по выбору декора и дизайна, определиться с современной моделью штор, карнизом, тканям без профессиональной помощи или подсказок бывает очень сложно. Интернет-магазина штор Танова более 8 лет занимается текстильным оформлением интерьеров и ежедневно помогает сделать дома своих клиентов стильны...
Происшествия
На Днепропетровщине горела жилая квартира, пожарные спасли четверых людей. Об этом сообщает пресс-служба ГСЧС в Днепре. Сегодня утром на “101” сообщили о пожаре в жилом доме Першотравенска. Огонь возник и распространился в квартире на 4-м этаже пятиэтажного дома. Четыре спасателя боролись с огнем около 10-ти минут и спасли 4-х человек, выведя их на улицу. А вот владелец квартиры 1961 года рождения пострадал серьезнее, его госпитализировали в местную горб...