Киевский студент взломал сайт крупнейшего банка Украины

КПИшник Алексей Мохов, бывший сотрудник украинских отделений мировых корпрораций, нашел слабые места в Android-приложении «Приват24». При этом парень связался со службой безопасности банка, чтобы обратить внимание на проблему. Но ПриватБанк ответил неожиданно, обвинив программиста в попытке украсть средства со счетов клиентов банка.

Мы взяли у Алексея эксклюзивный комментарий, в котором он рассказал, как ему удалось обнаружить уязвимость в системе «Приват24», и почему банк неправ, обвиняя его в попытке мошенничества.

- Сейчас я занимаюсь софтом для служб такси в Киеве (как-то так вышло, что занесло в эту степь, раньше работал в Samsung & Viewdle). Так вот. Стояла задача периодически проверять баланс банковских карт ПриватБанка ну и если надо — переводить средства на другую карту. Почему ПриватБанка? Потому что у них одна из самых больших сетей ТСО (терминалов самообслуживания). Схема такова — таксист подходит к ТСО, приложение для пополнения счета в такси запрашивает номер карты, система выдает ему карту и ожидает поступления средств. Как только средства упали на карту — зачисляет средства в системе такси.

В ходе исследования протокола связи с банком я заметил пару ошибок в системе безопасности. Начал глубже копаться в них. Оказалось, что банк позволял еще и переводить средства с карты на карту хоть в другой банк, хоть в другую страну (через Visa/Mastercard). Это помимо доступа к конфиденциальным данным человека (баланс, счета, кредиты, депозиты в банке).

После проведения экспертизы я написал об этом в твиттер, связавшись с аккаунтом ПриватБанка. Помимо этого написал сотруднику ПриватБанка в Днепропетровск, чтобы на меня быстрее вышла Служба безопасности банка.

В тот же день вечером ПриватБанк из штаб-квартиры в Днепре написал служебку в Киевское отделение Привата на Печерске, написали само собой в отдел СБ. Со мной созвонился представитель Привата В. Максименко и предложил встретиться, показать и рассказать что там да как. Произвел впечатление опытного специалиста, никто не давил на меня (вроде даже и не думали).

Ну я приехал, показал и рассказал, как программисты Привата допустили дыру в безопасности. Показал, как можно подставить в принципе любого человека, даже председателя правления Привата. Еще я подменил официальное приложение банка (добавил в него свой код) и показал, что можно сделать с ним. Почти нереально отличить официальное от модифицированного. Они в шоке были, отдел из 8-10 человек в комнате, — все работают и в пол-уха слушают мой монолог про все эти дела.

- И что тебе ответили?

- Там нет специалистов в области кибербезопасности, только по обычным мошенничествам. То есть что-то доказать почти невозможно, а после моей демонстрации всех трюков с приложениями / банком они просто разводят руками. Хотя общее впечатление о них осталось довольно хорошее.

- На чем вы сошлись? Твоей информации было достаточно для того, чтобы пофиксить дыру в безопасности?

- Ну, я не описывал технические детали, а просто демонстрировал. Повторяю, они не разбираются в IT на уровне программистов.

В итоге я написал объяснение на имя председателя правления ПриватБанка Дубилета, в котором все рассказал. Написал, что в случае интересных предложений готов помочь устранить данную проблему. Сегодня начальник СБ ПриватБанка должен идти к председателю и за круглым столом обсудить этот вопрос. Жду их решения. Ну вот и все, как-то так.

- Но если все было именно так, то почему Приват заявляет о том, что сначала были попытки взлома и уже только потом ты обратился в Службу безопасности банка?

- Ну да, Приват же в шоке: им тоже движуху надо поднять, что они что-то делают.

- Хм, логично. Значит все-таки не было никаких попыток “мошеннических транзакций”?

- Я попытался несколько раз сделать перевод средств при помощи получения 4 последних цифр карты. У меня это получилось. Чтобы никого не подставлять, сделал перевод на свою карту. После успешного перевода написал в твиттер банка. Потом сотруднику банка. Все эти действия показал и рассказал в объяснении. В СБ ПриватБанка предложил сделать перевод на карту Дубилета, мы посмеялись и все.

Кстати, когда демонстрировал проблемы приложения Приват24, предложил все сделать на телефоне / приложении сотрудника СБ. Он сказал, мол, не надо, а то у меня сейчас что-то уведешь, давай со своего.

- То есть то, что назвали «мошенническими транзакциями», — это были твои тестовые попытки перевести деньги с одной карточки на другую?

- Чтобы доказать, что уязвимость есть, нужно убедиться в работоспособности методов. Для этого случайным образом из базы данных ПриватБанка был выбран человек (фамилия у него как то на «У» начинается, не помню уже). Ну я доказал и пошел все показывать. Опять-таки все описал в объяснительной записке.

- То есть ты перечислил деньги со счета случайного человека чисто для демонстрации? Сколько, кстати?

- Вроде 430 или 450 грн. Кстати, средства, конечно же, были возвращены назад владельцу.

Если вы заметили ошибку, выделите необходимый текст и нажмите Ctrl+Enter, чтобы сообщить об этом редакции
Актуальность
(0 оценок)
Оперативность
(0 оценок)
Ошибки
(0 оценок)
Информативность
(0 оценок)
Я рекомендую
Пока никто не рекомендует

Комментарии

Комментарии предназначены для общения, обсуждения и выяснения интересующих вопросов

Новости компаний
На днях в кинотеатрах Украины состоялся показ фильма «DZIDZIO первый раз». Творческая команда вместе с DZIDZIO специально едут из города в город для того, чтобы со зрителями насладиться просмотром романтической комедии на большом экране. Везде ценители творчества приветствовали эпатажного певца и его команду аплодисментами. Во время пресс-конференции актеры вспоминали яркие и забавные истории, связанные с созданием фильма. Также DZIDZIO поблагодарил партне...
Общество
В Днепре и области уже приготовили технику для «встречи» первого снега. Об этом на своей странице в Фейсбук сообщил советник главы ДнепрОГА Юрий Голик. По его словам, в то время как в пяти регионах Украины уже выпал снег, в Днепропетровской области службы готовятся встречать первый снег только к выходным. «Мы решили, что дешевле и проще сделать так, чтобы он пока не шел, чем разгонять Облавтодор и чистить трассы. Вот такие мы хитрые. Но договор по отсутст...
Общество
Горсовет Днепра заключил меморандум о сотрудничестве со Службой безопасности Украины для взаимодействия в сфере кибернетической безопасности и защищенности информационно-телекоммуникационных систем мэрии. Об этом сообщает пресс-служба Службы безопасности Украины. В СБУ отмечают, что внедрение горсоветом Днепра новейших информационных технологий для повышения эффективности работы по обеспечению жизнедеятельности города создает дополнительные риски нарушения...
Общество
Cегодня, 14 ноября, трамваи № 18 и № 19 будут работать до 21:00. Временные изменения связаны с ремонтом контактной сети на ул. Академика Белелюбским от Амурского моста до приборостроительного завода. Об этом сообщили в пресс-службе КП «Днепровский электротранспорт». Последние отправления трамваев с конечных остановок: Трамваи №18 - от ул. Свободы - в 19:17, - от ж/м Левобережный-3 - в 19:50; Трамваи №19 - от пл. Старомостовой - в 19:20, - от ж/м Левобережн...
Общество
Нацполиция собирается вводить мотивационную программу для служителей правоохранительных органов Об этом сообщает пресс-служба  ГУНП. Министр внутренних дел Арсен Аваков и глава Нацполиции Сергей Князев представили новую мотивационную программу для полицейских, созданную для увеличения мотивации к работе и профессионального развития правоохранителей. Программа делится на несколько этапов. По словам Арсена Авакова, в основе первого  лежит обеспечение поли...
Культура
Уже завтра, 15 ноября, на больших экранах Украины стартует показ сборника короткометражных мультфильмов "Oscar Shorts 2018 Animation". Как сообщили в пресс-службе CinemaHall, покажут 8 анимационных шедевров, которые были номинированы на престижную кинопремию мира - Оскар. В сборник вошли такие фильмы: "Дорогой Баскетбол" (США), "Пустое место" (Франция), "Лу" (США), "Хулиганские сказки" (Великобритания), "Вечеринка в саду" (Франция), "Бюро находок" (Австрал...
Криминал
13 ноября в Кривом Роге суд приговорил к пожизненному заключению мужчину, который убил женщину. Об этом сообщает пресс-служба прокуратуры Днепропетровской области. Октябрьский районный суд Кривого Рога признал 41-летнего трижды судимого мужчину виновным в убийстве женщины. Он будет отбывать наказание по двум статьям – за убийство и за хищение имущества (ч.2 ст.115 и ч.1 ст.185 УК Украины). Так, в декабре 2016 года обвиняемый был в Кривом Роге в квартире по...
Общество
Завтра, 15 ноября, в некоторых районах Днепра отключат электричество. Это связано с техническим обслуживанием. Об этом сообщили в Укргидрометцентре. СПИСОК АДРЕСОВ: Соборный район: Д/к №271 ул.Поля2, ресторан Набережная Сичеславская, светофор,ж.д Сичеславская Набережная37.  Самарский район: ч/сектор ул.Броневая 2-64, 1-31а; насосная садового общества "Ранет" (ул. Броневая); ул. Воспоминаний 2-50, 5-103; ул. М. Рыльского 2-90, 1-103, 28а, 57а; ул. Новгородс...
Культура
Так сложилось, что четверг - самый любимый день киноманов, ведь именно в этот день в прокат выходят новинки кино. Но какие премьеры покажут уже завтра в днепровских кинотеатрах, узнавала корреспондент 056. Фантастические звери: Преступления Гриндельвальда  приключения, семейный, фэнтези Сиквел «Фантастических зверей и где их искать», чьи события будут проиходить в Париже. Действие второй части будет происходить в 1927 году, через несколько месяцев после со...