KPIshnik Alexei Mokhov, fost angajat al companiei ucrainene Samsung și Viewdle, a găsit o vulnerabilitate în aplicația Android "Privat24". PrivatBank a răspuns neașteptat, acuzând programatorul că încearcă să fure fonduri din conturile clienților băncii.
Acum lucrez la software pentru servicii de taxi în Kiev (cumva sa dovedit că am intrat în această stepă, am lucrat în Samsung Viewdle). Așa este. Sarcina a fost verificarea periodică a soldului cardurilor bancare PrivatBank și, dacă este necesar, transferarea fondurilor către un alt card. De ce PrivatBank? Deoarece au una dintre cele mai mari rețele TCO (terminale de autoservire). Schema este următoarea: șoferul de taxi se apropie de TCO, cererea de reîncărcare a contului din taxi solicită un număr de card, sistemul emite o carte către el și așteaptă ca fondurile să sosească. De îndată ce fondurile au căzut pe card - fondurile creditate în sistemul de taxiuri.
În timpul investigării protocolului de comunicare cu banca, am observat câteva erori în sistemul de securitate. Am inceput sa ma adanc mai adanc. Sa dovedit că banca ar putea, de asemenea, să transfere bani de pe card la card către altă bancă, chiar și în altă țară (prin intermediul Visa / Mastercard). Acest lucru este în plus față de accesul la datele personale confidențiale (sold, conturi, împrumuturi, depozite în bancă).
În aceeași zi, seara, PrivatBank, de la sediul din Nipru, a scris un birou pentru filiala din Kiev a Privatului din Pechersk, și-a scris în departamentul SB. Un reprezentant al Privatului V. Maksimenko mi-a sunat și mi-a oferit să se întâlnească, să-mi arăt și să-mi spună ce se întâmpla acolo. Sa impresionat de expertul calificat, nimeni nu ma impins (ca nici macar nu ma gandeam).
Ei bine, am sosit, am arătat și mi-am spus cum programatorii Privat au făcut gaura în siguranță. A arătat cum puteți înlocui în principiu orice persoană, chiar și președintele consiliului Privat. Am schimbat și cererea oficială a băncii (mi-a adăugat codul) și am arătat ce pot face cu ea. Este aproape imposibil să se facă distincția între oficial și modificat. Ei au fost în șoc, departamentul de 8-10 persoane în cameră - toți lucrează și în jumătate de ureche asculta monologul meu despre toate aceste cazuri.
Și ce-au spus?
Nu există experți în domeniul securității cibernetice, ci doar prin fraudă comună. Adică, este aproape imposibil să se dovedească ceva și, după ce am demonstrat toate trucurile cu aplicații / banca, ei își pun mâinile în sus. Deși impresia de ansamblu a acestora a rămas destul de bună.
Ce mai faci? Informațiile dvs. au fost suficiente pentru a fixa gaura în siguranță?
Ei bine, nu am descrie detaliile tehnice, ci doar am demonstrat. Repet, nu înțeleg IT la nivelul programatorilor.
Ca urmare, am scris o explicație pentru numele președintelui consiliului PrivatBank Dubilet, în care mi-a spus totul. Am scris că, în cazul unor propuneri interesante, sunt gata să ajut să rezolv această problemă. Astăzi, șeful SB PrivatBank ar trebui să se adreseze președintelui și să discute această problemă la o masă rotundă. Aștept decizia lor. Ei bine, asta e tot, cumva.
Dar dacă a fost așa, atunci de ce Privat spune că au fost încercări de hacking mai întâi și numai atunci ai contactat Serviciul de Securitate al Băncii?
Ei bine, da, Privat este în stare de șoc: ei trebuie, de asemenea, să fie mutați, că fac ceva.
Hmm, asta e logic. Deci, la urma urmei, nu au existat tentative de "tranzacții frauduloase"?
Am încercat de mai multe ori să fac un transfer de bani prin obținerea ultimelor 4 cifre ale cardului. Am făcut-o. Pentru a nu înlocui pe nimeni, am făcut un transfer pe cartela mea. După o traducere reușită, am scris Twitter-ului băncii. Apoi, angajatul băncii. Toate aceste acțiuni sunt prezentate și explicate în explicație. În SB PrivatBank oferit să facă un transfer pe harta lui Dubilet, am râs și asta e tot.
Aceasta a fost ceea ce se numea "tranzacții frauduloase". - au încercat încercările dvs. de transfer de bani de la o cartelă la alta?
Pentru a dovedi că există o vulnerabilitate, trebuie să vă asigurați că metodele funcționează. Pentru a face acest lucru, o persoană a fost aleasă aleatoriu din baza de date a PrivatBank (nu-și amintește numele de familie ca "U", nu-mi amintesc deja). Ei bine, am dovedit-o și am mers să arăt totul. Din nou, am descris totul într-o notă explicativă.
Deci, ați transferat bani dintr-un cont de persoană accidentală exclusiv pentru demonstrație? Cât de mult, apropo?
Ca 430 sau 450 UAH. Apropo, desigur, fondurile au fost returnate proprietarului.
Așa cum am remarcat în mod corect prietenii, acum CV-ul meu poate fi comprimat într-o singură propoziție - 'introduceți interogarea' Mohov Privat24 în Google / Yandex ''.
Discutarea istoriei cu privire la diferitele resurse ale Unite și Runet