Киевский студент взломал сайт крупнейшего банка Украины

КПИшник Алексей Мохов, бывший сотрудник украинских отделений мировых корпрораций, нашел слабые места в Android-приложении «Приват24». При этом парень связался со службой безопасности банка, чтобы обратить внимание на проблему. Но ПриватБанк ответил неожиданно, обвинив программиста в попытке украсть средства со счетов клиентов банка.

Мы взяли у Алексея эксклюзивный комментарий, в котором он рассказал, как ему удалось обнаружить уязвимость в системе «Приват24», и почему банк неправ, обвиняя его в попытке мошенничества.

- Сейчас я занимаюсь софтом для служб такси в Киеве (как-то так вышло, что занесло в эту степь, раньше работал в Samsung & Viewdle). Так вот. Стояла задача периодически проверять баланс банковских карт ПриватБанка ну и если надо — переводить средства на другую карту. Почему ПриватБанка? Потому что у них одна из самых больших сетей ТСО (терминалов самообслуживания). Схема такова — таксист подходит к ТСО, приложение для пополнения счета в такси запрашивает номер карты, система выдает ему карту и ожидает поступления средств. Как только средства упали на карту — зачисляет средства в системе такси.

В ходе исследования протокола связи с банком я заметил пару ошибок в системе безопасности. Начал глубже копаться в них. Оказалось, что банк позволял еще и переводить средства с карты на карту хоть в другой банк, хоть в другую страну (через Visa/Mastercard). Это помимо доступа к конфиденциальным данным человека (баланс, счета, кредиты, депозиты в банке).

После проведения экспертизы я написал об этом в твиттер, связавшись с аккаунтом ПриватБанка. Помимо этого написал сотруднику ПриватБанка в Днепропетровск, чтобы на меня быстрее вышла Служба безопасности банка.

В тот же день вечером ПриватБанк из штаб-квартиры в Днепре написал служебку в Киевское отделение Привата на Печерске, написали само собой в отдел СБ. Со мной созвонился представитель Привата В. Максименко и предложил встретиться, показать и рассказать что там да как. Произвел впечатление опытного специалиста, никто не давил на меня (вроде даже и не думали).

Ну я приехал, показал и рассказал, как программисты Привата допустили дыру в безопасности. Показал, как можно подставить в принципе любого человека, даже председателя правления Привата. Еще я подменил официальное приложение банка (добавил в него свой код) и показал, что можно сделать с ним. Почти нереально отличить официальное от модифицированного. Они в шоке были, отдел из 8-10 человек в комнате, — все работают и в пол-уха слушают мой монолог про все эти дела.

- И что тебе ответили?

- Там нет специалистов в области кибербезопасности, только по обычным мошенничествам. То есть что-то доказать почти невозможно, а после моей демонстрации всех трюков с приложениями / банком они просто разводят руками. Хотя общее впечатление о них осталось довольно хорошее.

- На чем вы сошлись? Твоей информации было достаточно для того, чтобы пофиксить дыру в безопасности?

- Ну, я не описывал технические детали, а просто демонстрировал. Повторяю, они не разбираются в IT на уровне программистов.

В итоге я написал объяснение на имя председателя правления ПриватБанка Дубилета, в котором все рассказал. Написал, что в случае интересных предложений готов помочь устранить данную проблему. Сегодня начальник СБ ПриватБанка должен идти к председателю и за круглым столом обсудить этот вопрос. Жду их решения. Ну вот и все, как-то так.

- Но если все было именно так, то почему Приват заявляет о том, что сначала были попытки взлома и уже только потом ты обратился в Службу безопасности банка?

- Ну да, Приват же в шоке: им тоже движуху надо поднять, что они что-то делают.

- Хм, логично. Значит все-таки не было никаких попыток “мошеннических транзакций”?

- Я попытался несколько раз сделать перевод средств при помощи получения 4 последних цифр карты. У меня это получилось. Чтобы никого не подставлять, сделал перевод на свою карту. После успешного перевода написал в твиттер банка. Потом сотруднику банка. Все эти действия показал и рассказал в объяснении. В СБ ПриватБанка предложил сделать перевод на карту Дубилета, мы посмеялись и все.

Кстати, когда демонстрировал проблемы приложения Приват24, предложил все сделать на телефоне / приложении сотрудника СБ. Он сказал, мол, не надо, а то у меня сейчас что-то уведешь, давай со своего.

- То есть то, что назвали «мошенническими транзакциями», — это были твои тестовые попытки перевести деньги с одной карточки на другую?

- Чтобы доказать, что уязвимость есть, нужно убедиться в работоспособности методов. Для этого случайным образом из базы данных ПриватБанка был выбран человек (фамилия у него как то на «У» начинается, не помню уже). Ну я доказал и пошел все показывать. Опять-таки все описал в объяснительной записке.

- То есть ты перечислил деньги со счета случайного человека чисто для демонстрации? Сколько, кстати?

- Вроде 430 или 450 грн. Кстати, средства, конечно же, были возвращены назад владельцу.

Если вы заметили ошибку, выделите необходимый текст и нажмите Ctrl+Enter, чтобы сообщить об этом редакции
Актуальность
(0 оценок)
Оперативность
(0 оценок)
Ошибки
(0 оценок)
Информативность
(0 оценок)
Я рекомендую
Пока никто не рекомендует

Комментарии

Комментарии предназначены для общения, обсуждения и выяснения интересующих вопросов

Общество
В Днепре у торгового центра «Мост-Сити» перекроют движение транспорта и запретят парковку из-за проведения праздника Об этом сообщается в распоряжении городского главы Днепра. У торгового центра 23 сентября, в воскресенье, с 6 утра будет перекрыто движение по улице Владимира Великого и улице Харьковской около ТЦ. Также там будет запрещена парковка. Неудобства связаны с проведением праздника по случаю «Дня Рождения» ТЦ. Откроют дорогу после окончания торжес...
Общество
В Днепр уже на этих выходных вернутся дожди и холода Об этом сообщает пресс-служба ГСЧС в Днепропетровской области. В результате влияния активного циклона с севера на территории Днепропетровской области 23-24 сентября ожидаются резкие изменения погодных условий. Уже в это воскресенье, 23 сентября, по городу ожидается переменная облачность, ночью и днем местами кратковременный дождь, гроза. Ветер северо-западный, 7-12 м/с, днем местами порывы 15-20 м/с. Тем...
Культура
В Днепре провели концерт молодых рэп-исполнителей, организованный Soda Prom Об этом сообщает корреспондент 056 с места событий. 21 сентября, в 18:00 около арт-пространства “Fabrika” начала собираться молодежь, желающая попасть на концерт. Пройдя фейс-контроль и показав содержимое сумок, гости поднимались по старой лестнице на второй этаж и попадали в огромное помещение, где мигали стробоскопы и грохотала музыка. Небольшая сцена в конце зала была с самого н...
главная тема недели
В пятницу, 21 сентября, Верховная Рада Украины приняла к рассмотрению законопроект о государственном бюджете на 2019 год. Согласно регламенту Рады, до 1 октября текущего года народные депутаты будут подавать свои предложения к документу, и до 15 октября их рассмотрит главный комитет. Верховная Рада должна утвердить в первом чтении проект госбюджета до 20 октября. Споры вокруг основополагающего экономического документа страны традиционно бывают бурными, а в...
Спорт
Восемь спортсменов из Днепропетровской области будут представлять Украину на юношеских Олимпийских играх, которые пройдут в октябре 2018 года в Аргентине.  Об этом сообщили в пресс-службе ДнепрОГА. «Гордимся нашими спортсменами. Участвовать в юношеских Олимпийских играх – большая честь, а вместе с тем – большая ответственность. Мы уверены, что днепряне сделают большой вклад в достижение нашей сборной», – отметил начальник управления молодежи и спорта Алекс...
Новости компаний
С 21 до 23 сентября в Фирменном Магазине Dnipro-M в городе Днепр пройдет сразу несколько акций. Адрес: ул. Михаила Грушевского (Карла Либкнехта), 15А Время: с 9:00 до 15:00 У Вас есть отличная возможность выиграть новейший электроинструмент, обменять старое оборудование или сэкономить до 3000 гривен благодаря акционным наборам! Разве можно такое пропустить? Нет времени ходить по магазинам? Тогда заказывайте онлайн – все условия акции распространяются на по...
Общество
Ясная погода в Днепре будет наблюдаться на протяжении всего дня. Без осадков. Об этом сообщили в Укргидрометцентре. Днем температура воздуха будет от +27 до +29. Ночью температура воздуха будет от +15 до +17. Ветер южный со скоростью 3-5 м/с. ЧИТАЙТЕ ТАКЖЕ: В Днепре пьяная женщина избила мужа, швырнула в него топор и едва не подорвала дом, - ФОТО
Общество
Группа молодых ученных из «Днепровской политехники» разработали комплексную систему, позволяющую создавать эффективные горнодобывающие предприятия, которые практически не несут ущерба окружающей среде. Молодые ученые из Днепра – Наталья Деревягина, Дмитрий Приходченко, Вадим Соцков и Николай Трегуб - разработали уникальную концепцию геомониторинга, которая позволяет делать предприятия в горнодобывающей сфере максимально эффективными, при этом нести минимал...
Общество
22-24 сентября в движении троллейбусов произойдут изменения Об этом сообщает пресс-служба Горсовета Днепра. С 22 до 24 сентября временно изменится работа троллейбусных маршрутов № 12, №1 и № 4. 22 сентября, с 9:30 до 13:30, троллейбусы № 12 будут следовать от ж / м Победа-5 в Институт физической культуры. 23 сентября, с 9:00 до 18:00, троллейбусы № 1 ходить не до пл. Соборной, а до пл. Космической. 24 сентября, с 10:00 до 18:00, троллейбусы № 1 и № 4 будут...