Киевский студент взломал сайт крупнейшего банка Украины

КПИшник Алексей Мохов, бывший сотрудник украинских отделений мировых корпрораций, нашел слабые места в Android-приложении «Приват24». При этом парень связался со службой безопасности банка, чтобы обратить внимание на проблему. Но ПриватБанк ответил неожиданно, обвинив программиста в попытке украсть средства со счетов клиентов банка.

Мы взяли у Алексея эксклюзивный комментарий, в котором он рассказал, как ему удалось обнаружить уязвимость в системе «Приват24», и почему банк неправ, обвиняя его в попытке мошенничества.

- Сейчас я занимаюсь софтом для служб такси в Киеве (как-то так вышло, что занесло в эту степь, раньше работал в Samsung & Viewdle). Так вот. Стояла задача периодически проверять баланс банковских карт ПриватБанка ну и если надо — переводить средства на другую карту. Почему ПриватБанка? Потому что у них одна из самых больших сетей ТСО (терминалов самообслуживания). Схема такова — таксист подходит к ТСО, приложение для пополнения счета в такси запрашивает номер карты, система выдает ему карту и ожидает поступления средств. Как только средства упали на карту — зачисляет средства в системе такси.

В ходе исследования протокола связи с банком я заметил пару ошибок в системе безопасности. Начал глубже копаться в них. Оказалось, что банк позволял еще и переводить средства с карты на карту хоть в другой банк, хоть в другую страну (через Visa/Mastercard). Это помимо доступа к конфиденциальным данным человека (баланс, счета, кредиты, депозиты в банке).

После проведения экспертизы я написал об этом в твиттер, связавшись с аккаунтом ПриватБанка. Помимо этого написал сотруднику ПриватБанка в Днепропетровск, чтобы на меня быстрее вышла Служба безопасности банка.

В тот же день вечером ПриватБанк из штаб-квартиры в Днепре написал служебку в Киевское отделение Привата на Печерске, написали само собой в отдел СБ. Со мной созвонился представитель Привата В. Максименко и предложил встретиться, показать и рассказать что там да как. Произвел впечатление опытного специалиста, никто не давил на меня (вроде даже и не думали).

Ну я приехал, показал и рассказал, как программисты Привата допустили дыру в безопасности. Показал, как можно подставить в принципе любого человека, даже председателя правления Привата. Еще я подменил официальное приложение банка (добавил в него свой код) и показал, что можно сделать с ним. Почти нереально отличить официальное от модифицированного. Они в шоке были, отдел из 8-10 человек в комнате, — все работают и в пол-уха слушают мой монолог про все эти дела.

- И что тебе ответили?

- Там нет специалистов в области кибербезопасности, только по обычным мошенничествам. То есть что-то доказать почти невозможно, а после моей демонстрации всех трюков с приложениями / банком они просто разводят руками. Хотя общее впечатление о них осталось довольно хорошее.

- На чем вы сошлись? Твоей информации было достаточно для того, чтобы пофиксить дыру в безопасности?

- Ну, я не описывал технические детали, а просто демонстрировал. Повторяю, они не разбираются в IT на уровне программистов.

В итоге я написал объяснение на имя председателя правления ПриватБанка Дубилета, в котором все рассказал. Написал, что в случае интересных предложений готов помочь устранить данную проблему. Сегодня начальник СБ ПриватБанка должен идти к председателю и за круглым столом обсудить этот вопрос. Жду их решения. Ну вот и все, как-то так.

- Но если все было именно так, то почему Приват заявляет о том, что сначала были попытки взлома и уже только потом ты обратился в Службу безопасности банка?

- Ну да, Приват же в шоке: им тоже движуху надо поднять, что они что-то делают.

- Хм, логично. Значит все-таки не было никаких попыток “мошеннических транзакций”?

- Я попытался несколько раз сделать перевод средств при помощи получения 4 последних цифр карты. У меня это получилось. Чтобы никого не подставлять, сделал перевод на свою карту. После успешного перевода написал в твиттер банка. Потом сотруднику банка. Все эти действия показал и рассказал в объяснении. В СБ ПриватБанка предложил сделать перевод на карту Дубилета, мы посмеялись и все.

Кстати, когда демонстрировал проблемы приложения Приват24, предложил все сделать на телефоне / приложении сотрудника СБ. Он сказал, мол, не надо, а то у меня сейчас что-то уведешь, давай со своего.

- То есть то, что назвали «мошенническими транзакциями», — это были твои тестовые попытки перевести деньги с одной карточки на другую?

- Чтобы доказать, что уязвимость есть, нужно убедиться в работоспособности методов. Для этого случайным образом из базы данных ПриватБанка был выбран человек (фамилия у него как то на «У» начинается, не помню уже). Ну я доказал и пошел все показывать. Опять-таки все описал в объяснительной записке.

- То есть ты перечислил деньги со счета случайного человека чисто для демонстрации? Сколько, кстати?

- Вроде 430 или 450 грн. Кстати, средства, конечно же, были возвращены назад владельцу.

Если вы заметили ошибку, выделите необходимый текст и нажмите Ctrl+Enter, чтобы сообщить об этом редакции
Актуальность
(0 оценок)
Оперативность
(0 оценок)
Ошибки
(0 оценок)
Информативность
(0 оценок)
Я рекомендую
Пока никто не рекомендует

Комментарии

Комментарии предназначены для общения, обсуждения и выяснения интересующих вопросов

Спорт
Спортсмен из Днепропетровской области Дмитрий Сухоцкий завоевал золотую медаль на чемпионате Украины по тяжелой атлетике. Сухоцкий выступал в полулегком весе до 61 кг, сообщили в пресс-службе ДнепрОГА.  Тяжелоатлет получил чемпионское звание с результатом 260 кг в сумме двух упражнений. Он также попытался установить рекорд Украины. Для этого ему надо было поднять штангу в 150 кг при исполнении толчка. Но этот вес не покорился спортсмену. Впрочем, это не по...
Происшествия
В Днепре сгорело складское двухэтажное помещение и поддоны на территории Об этом сообщает пресс-служба ГСЧС в Днепропетровской области. 23 сентября в 2:24 в Службу спасения поступило сообщение о пожаре на улице Артельной в Амур-Нижнеднепровском районе. Прибыв на место, спасатели установили, что на открытой территории горят деревянные поддоны на площади 1000 кв. м, а также отдельно стоящее двухэтажное здание со складскими помещениями на площади 825 м.кв. По...
Общество
В понедельник, 24 сентября, в некоторых районах Днепра, в связи с техническим обслуживанием, отключат свет.  Об этом сообщили в пресс-службе "ДТЭК Днепроблэнерго". Соборный район: пр. Дмитра Яворницького, 33; ул. Владимира Моссаковского, 1-7; ул. Шевченко, 12, 17-29; ул.Дорожная 3-19, 2-42, ул.Ереванская 1-65, 2-80, ул.Радостная 1-67,2-64, ул.Новогодняя 2-52/1, 1-37, ул. Мира 1-43,6-56 АНД-район: ул. Передовая, школа №115, котельная; пер. Балканский; ул. И...
Общество
С развитием интернета появляется больше возможностей, которые можно использовать в целях заработка денег, но не все знают как. 056 подобрал для вас варианты необычных, но эффективных подработок. 1. Продажа книг на Amazon Вы можете зарабатывать на продаже книг, которые даже не придется писать. Как? Подробно об этом рассказывается в материале на Yakaboo “Люди всегда хотят есть, худеть, становиться здоровее и зарабатывать: какие книги покупают американцы и ск...
Общество
22 сентября в чемпионате по регби сошлись команды из Днепра и Киева Об этом сообщает корреспондент 056 с места событий. 22 сентября на стадионе “Метеор” прошел чемпионат по регби между командами “Дніпро” и “Політехнік” из Киева. Победила приглашенная команда со счетом 31:24. На протяжении всего матча команда Днепра достойно вела игру с победным счетом, но на последних минутах гости отыгрались и вырвались вперед. Богдан Поплавский, игрок РК Днепр и сборной...
Общество
В Днепре до самого вечера будет держаться пасмурная погода, и лишь под конец дня небо очистится от облаков. Днем, возможно, пройдет сильный дождь, но он закончится еще до наступления вечера. Об этом сообщили в Укргидрометцентре. Днем температура воздуха будет до +20. Ночью температура воздуха будет до +11. Ветер северный со скоростью 4-6 м/с. ЧИТАЙТЕ ТАКЖЕ: В Днепре у «Мост-Сити» полностью перекроют движение транспорта и запретят парковку: в чем дело
Общество
В Днепре у торгового центра «Мост-Сити» перекроют движение транспорта и запретят парковку из-за проведения праздника Об этом сообщается в распоряжении городского главы Днепра. У торгового центра 23 сентября, в воскресенье, с 6 утра будет перекрыто движение по улице Владимира Великого и улице Харьковской около ТЦ. Также там будет запрещена парковка. Неудобства связаны с проведением праздника по случаю «Дня Рождения» ТЦ. Откроют дорогу после окончания торжес...
Общество
В Днепр уже на этих выходных вернутся дожди и холода Об этом сообщает пресс-служба ГСЧС в Днепропетровской области. В результате влияния активного циклона с севера на территории Днепропетровской области 23-24 сентября ожидаются резкие изменения погодных условий. Уже в это воскресенье, 23 сентября, по городу ожидается переменная облачность, ночью и днем местами кратковременный дождь, гроза. Ветер северо-западный, 7-12 м/с, днем местами порывы 15-20 м/с. Тем...
Культура
В Днепре провели концерт молодых рэп-исполнителей, организованный Soda Prom Об этом сообщает корреспондент 056 с места событий. 21 сентября, в 18:00 около арт-пространства “Fabrika” начала собираться молодежь, желающая попасть на концерт. Пройдя фейс-контроль и показав содержимое сумок, гости поднимались по старой лестнице на второй этаж и попадали в огромное помещение, где мигали стробоскопы и грохотала музыка. Небольшая сцена в конце зала была с самого н...