ПриватБанк обвинил украинского программиста во взломе своего Android-приложения

    КПИшник Алексей Мохов, бывший сотрудник украинского Samsung и Viewdle, нашел уязвимость в Android-приложении «Приват24». ПриватБанк ответил неожиданно, обвинив программиста в попытке украсть средства со счетов клиентов банка.
    image


    Как сообщается на украинском портале студгазеты КПИ

    Со слов Алексея:

    Сейчас я занимаюсь софтом для служб такси в Киеве (как-то так вышло, что занесло в эту степь, раньше работал в Samsung & Viewdle). Так вот. Стояла задача периодически проверять баланс банковских карт ПриватБанка ну и если надо — переводить средства на другую карту. Почему ПриватБанка? Потому что у них одна из самых больших сетей ТСО (терминалов самообслуживания). Схема такова — таксист подходит к ТСО, приложение для пополнения счета в такси запрашивает номер карты, система выдает ему карту и ожидает поступления средств. Как только средства упали на карту — зачисляет средства в системе такси.

    В ходе исследования протокола связи с банком я заметил пару ошибок в системе безопасности. Начал глубже копаться в них. Оказалось, что банк позволял еще и переводить средства с карты на карту хоть в другой банк, хоть в другую страну (через Visa/Mastercard). Это помимо доступа к конфиденциальным данным человека (баланс, счета, кредиты, депозиты в банке).

    После проведения экспертизы я написал об этом в твиттер, связавшись с аккаунтом ПриватБанка. Помимо этого написал сотруднику ПриватБанка в Днепропетровск, чтобы на меня быстрее вышла Служба безопасности банка.

    В тот же день вечером ПриватБанк из штабквартиры в Днепре написал служебку в Киевское отделение Привата на Печерске, написали само собой в отдел СБ. Со мной созвонился представитель Привата В. Максименко и предложил встретиться, показать и рассказать что там да как. Произвел впечатление опытного специалиста, никто не давил на меня (вроде даже и не думали).

    Ну я приехал, показал и рассказал, как программисты Привата допустили дыру в безопасности. Показал, как можно подставить в принципе любого человека, даже председателя правления Привата. Еще я подменил официальное приложение банка (добавил в него свой код) и показал, что можно сделать с ним. Почти нереально отличить официальное от модифицированного. Они в шоке были, отдел из 8-10 человек в комнате, — все работают и в пол-уха слушают мой монолог про все эти дела.


    «Нужно понимать, что он хакер. В цивилизованных странах это уже преступление. Изъян в системе, который он нашел, не является страшным, не особенно угрожает клиентам банка. Как только Мохов попытался перевести чужие деньги, наша система безопасности забила тревогу. Его бы обязательно нашли», – говорит начальник пресс-службы «ПриватБанка» Олег Серьга.

    В результате ПриватБанк начал расследование попытки взлома своей системы безопасности программистом Алексеем Моховым, который ранее работал в компании Samsung и проекте Viewdle. В ближайшие две недели руководство банка решит, возбуждать ли дело по этому факту.
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 262
    • +68
      Материальный ущерб никому не нанесен ведь. За что возбуждать дело?
      • +30
        >В цивилизованных странах это уже преступление.

        • +8
          Так то ж в цивилизованных )
          • +27
            В цивилизованных странах банк бы ещё вознаграждение хакеру дал, а сам факт наличия уязвимости (пусть уже устранённой) не придавал бы огласке, ибо портит имидж.
            • +6
              мыслепреступление
            • +17
              Та привет-банк еще то УГ.
              Постоянно деньги куда-то деваются. Бывает даже такое что оплата не до конца проходит, деньги списаны а услуга не оплачена, видимо там о транзакциях никто не слышал…
              И по-поводу «Его бы обязательно нашли» знаю сотни живых случаев когда у людей деньги пропадают и все…
              • +3
                Кстати был случай у закомого, на чеке написало мелким шрифтом «транзакция будет проведена в течении трех суток». Трое суток! Я в шоке, как быстро деньги ходят в системе… наверное укрпочтой везут…
                • +2
                  Трое суток. Хех. Деньги со статусом «собственные средства» (входящий перевод на карту) получали статус «доступно» (то есть чтобы я мог расплатиться картой или снять кэш с неё) больше десяти суток. И то, похоже, триггером послужил мой вход в онлайн-банкинг.
            • +8
              Возможно нахватаю сейчас минусов, но…

              Например, по украинскому аналогу 272?

              Я попытался несколько раз сделать перевод средств при помощи получения 4 последних цифр карты. У меня это получилось. Чтобы никого не подставлять, сделал перевод на свою карту. После успешного перевода написал в твиттер банка. Потом сотруднику банка.

              То есть то, что назвали «мошенническими транзакциями», — это были твои тестовые попытки перевести деньги с одной карточки на другую?

              Чтобы доказать, что уязвимость есть, нужно убедиться в работоспособности методов. Для этого случайным образом из базы данных ПриватБанка был выбран человек (фамилия у него как то на «У» начинается, не помню уже). Ну я доказал и пошел все показывать.


              Т.е. не получая никакого разрешения от привата, он с чьего-то счета перевел себе на карточку сумму. Да, деньги он вернул, но фактически это взлом. Да и как по мне, публично через твиттер ставить в известность приват о том, что у них имеются дыры в безопасности, как-то дико.
              • +10
                Больше всего меня удивило, что снял деньги он не у своего знакомого по договоренности, а у левого человека.
                Вот это было глупо.
                Но я ни в коем случае не хочу оправдывать Приват — еще те засранцы.
                • 0
                  Вероятно он сам был в шоке что деньги взялись. Думаю если бы он больше склонялся к тому что это сработает то не переводил бы деньги с чужого счета.
                • НЛО прилетело и опубликовало эту надпись здесь
                • +3
                  Как говорил мой комбат: Можно и к столбу дое… ся, почему он без фуражки
                • +100
                  Чем признаться и страдать — лучше с$%*дить и молчать!)
                  • +4
                    Он поступил правильно. Может быть это покажется парадоксом, но от честных поступков прибыли бывает больше. Теперь этот программист знаменит, и его с радостью возьмут в СБ многих компаний. И что самое главное — он зарекомендовал себя очень честным и порядочным человеком.
                    • +8
                      его с радостью возьмут в СБ многих компаний

                      Главное что бы не после нескольких лет колонии.
                      • +2
                        Не согласен с тем, что возьмут в СБ многих компаний, т.к. СБ — это не программисты, а чекисты они действуют по факту, а все остальное это проблемы админов.
                        • +1
                          Есть те, кто действуют по фактам, есть те кто разрабатывает софт для обнаружения фактов.
                          • 0
                            Надо им писать масово сообщения о том что известно о новой такой же уязвимости в их программном продукте — «только мы теперь об этом вам не скажем». Кому то другому.
                          • +1
                            В случае, когда, например, у вас щипачи вытащат бумажник и отдадут администрации рынка, мол, видите, тут можно любого обокрасть, как вы отнесетесь к пропаже бумажника, осознанию факта, что это было воровство ради тестирования безопасности рынка? И, самое главное, как должна поступить администрация рынка по отношению к человеку, вытащившему бумажник? С моей точки зрения тут все просто: за благими намерениями кроется фактическое воровство (с точки зрения закона, а не справедливости). Да и с точки зрения справедливости тоже не все хорошо: используя такую же логику, мы скоро сможем увидеть всяких скрипт-киддиз разгуливающих по вашим квартире/дому с заявлениями «Я просто тестирую ваш дом на предмет уязвимостей».
                            • +3
                              Вашу аналогию следует подкорректировать:
                              — Устройства для ношения бумажников выдает администрация рынка.
                              — Бумажники на территории рынка носить разрешается исключительно в этих выданных администрацией устройствах. Иначе покупатель на рынок вообще не будет допущен.
                              — Деньгами из устройства клиент расплачивается не напрямую, а через сотрудников рынка. Сотрудники рынка, как оказалось, подслеповаты и спокойно могут расплатиться с чужого устройства — любого, на которое покажет вор.

                              Вот теперь аналогия ближе к рассматриваемой ситуации.
                              И теперь вина администрации рынка просматривается гораздо выше, чем вина человека, который продемонстрировал дырявость нанятых ею сотрудников. Поэтому ее желание сделать козлом отпущения хакера, а не себя, любимую, вызывает отвращение.
                              Что касается хакера, то его вина в том, что он проверял уязвимость не на своих, а на чужих счетах. Завел бы себе 2 карты и перечислял бы с одной на другую. Согласно вашей 2-ой аналогии: ходил бы по СВОЕМУ, а не чужому дому и проверял бы его на предмет уязвимостей.
                              • 0
                                его вина в том, что он проверял уязвимость не на своих

                                Хакер не «проверял уязвимость», а перечислил чужие деньги на свой банковский счет. Если мы позволим оправдывать обращение чужого имушества в свою пользу словами(!), мол, я тестировал уязвимость, то мы получим десятки тысяч ненаказанных уголовников в первый же день.

                                Я пытаюсь донести простую мысль: чужое брать нельзя. И наш «хакер» с точки зрения закона — вор вне завимости от участия банка в этой истории.

                                К банку тоже есть вопросы, но это другая история. Нужно подымать законодательство соседей, жаловаться регулятору и пр.
                                • 0
                                  Хакер не «проверял уязвимость», а перечислил чужие деньги на свой банковский счет.

                                  Проверка уязвимости — это попытка выполнить неразрешенную операцию. В случае с банком — это попытка провести неразрешенную транзакцию. Только успешное проведение неразрешенной транзакции позволяет заявлять о наличии уязвимости. Всё остальное — бла-бла-бла, ничем неподкрепленное.
                                  Если несогласны — попробуйте предложить свой вариант проверки уязвимостей произвольных переводов.

                                  Если мы позволим оправдывать обращение чужого имушества в свою пользу словами(!), мол, я тестировал уязвимость, то мы получим десятки тысяч ненаказанных уголовников в первый же день.

                                  Вы меня не поняли. Прочитайте внимательнее — я нигде не оправдывал обращение чужого имущества в свою пользу. Наоборот, я считаю хакера виноватым: он для своего эксперимента использовал ЧУЖИЕ, а не свои деньги. А если бы использовал свои, то ваша претензия «обращение чужого имущества в свою пользу» превратилась бы в «обращение своего имущества в свою пользу», т.е. потеряла бы смысл. Согласны?
                                  • 0
                                    Да, похоже неправильно вас понял, но

                                    он для своего эксперимента использовал ЧУЖИЕ, а не свои деньги

                                    Даже если бы это были его деньги (переводимые с собственного счета на собственный же счет), это опять же — неправомерный доступ к комьютерной информации, просто без причинения ущерба третьим лицам.

                                    По поводу «проверок уязвимостей». Уголовная статься, так или иначе покрывающая множество «операций, совершаемых для получения несанкционированного доступа к тому-то и тому-то» есть, думаю, во всех странах. Соостветственно, даже в поисках уязвимостей всегда есть уголовный подтекст. Никто не будет учитывать «благие намерения» в «поиске уязвимостей»: получил неправомерный доступ — получи срок. Таким образом, программа банка по поиску уязвимостей является (частично) подстрекательством к преступлению.

                                    Мой вариант проверки уязвимостей (на примере банка): делается sandbox-environment с тестовыми счетами и пр. В андроид-приложении устанавливается developer mode. На сайте банка выдается автоматическое разрешение, инструкция к использованию и документ на обеспечение условий для тестирования ИмяФамилия, логины-пароли, сертификаты и остальное, все, что необходимо.
                                    • +1
                                      Я слабо представляю себе ситуацию, когда банк будет создавать sandbox-environment с тестовыми счетами каждому встречному-поперечному.
                                      Представьте, что вы — IT-специалист банка. И приходит к вам начинающий недохакер и заявляет:
                                      — У вас в протоколе обмена я обнаружил некое поле. Если его неправильно заполнить, то платеж станет неверным. Дайте мне возможность поэкспериментировать с его заполнением.
                                      Ну не смешно ли? Во-первых, с чего он решил, что на стороне банка нет проверок этого поля? Может, там их штук 100, просто он о них еще не знает. Во-вторых, будете ли вы всем подряд, кто впервые ознакомился с протоколом обмена, выделять программные и аппаратные ресурсы для проверки их дилетантских догадок и давать упражняться во взломе своей банковской системы?

                                      Мне кажется, это из области фантастики — ни один банк на такое не пойдет. Другое дело, когда речь идет о специализированной компании, профессионально занимающейся тестированием информационной безопасности.

                                      Что касается уголовного подтекста поиска уязвимостей — это отдельный разговор.
                                      С одной стороны, вседозволенность недопустима. А с другой стороны, если любой поиск считать уголовщиной, то это будет способствовать наплевательству на безопасность со стороны разработчиков (что, собственно, и произошло в обсуждаемом случае), а, значит, тоже недопустимо (см. законы Мерфи про дятла, способного разрушить всю цивилизацию).
                                      • 0
                                        Другое дело, когда речь идет о специализированной компании, профессионально занимающейся тестированием информационной безопасности

                                        Я понимаю про компанию, но у нас есть специализированная кампания (крутить вниз). Еще раз повторюсь — у нас (и у соседей) невозможно искать уязвимости без попадания на «неправомерный доступ к компьютерной информации», кроме как, например, с использованием способа, который я предложил выше.

                                        Я слабо представляю себе ситуацию, когда банк будет создавать sandbox-environment с тестовыми счетами каждому встречному-поперечному

                                        Не надо каждому — сделать один на всех sandbox-environment и вперед, пусть ищут за денежку. И волки сыты и овцы целы и имидж где надо.
                                        • +1
                                          Не надо каждому — сделать один на всех sandbox-environment и вперед, пусть ищут за денежку.

                                          Если вам не нравится слово «создавать», то я могу его заменить на «предоставлять»:
                                          Я слабо представляю себе ситуацию, когда банк будет предоставлять sandbox-environment с тестовыми счетами каждому встречному-поперечному. Даже если sandbox — один на всех.

                                          Обратите внимание: тот же ПриватБанк, на страничку которого вы привели ссылку, желает получать исключительно ГОТОВУЮ информацию, а не создавать условия для ее получения — предоставлять sandbox, документацию, тестовые логины/пароли и т.п. Оно и понятно: чем меньше людей знает, как всё устроено и работает, тем спокойнее банку спать. Поэтому я и не верю, что банки будут заниматься этим.
                                      • +1
                                        получил неправомерный доступ — получи срок. Таким образом, программа банка по поиску уязвимостей является (частично) подстрекательством к преступлению.

                                        А разве подобные программы не являются санкцией на доступ в обход средств защиты?
                                        • 0
                                          не являются санкцией на доступ в обход средств защиты

                                          Зная любовь к бумажкам всего постсоветского пространства, думаю, что нет. Потому что, например, первое, что попросят правоохранительные органы — «разрешение на доступ в обход средств защиты», заверенное банком с печатями и подписями. И не дай бог там не будет указаны даты, временные промежутки, ответственные лица и т.д. и т.п.

                                          Более того, банк в любой момент может убрать свою кампанию (сроки кампании на сайте не указаны) и сказать, что «нас вообще взломали и мы такую кампанию не проводили».

                                          Если в двух словах — лучше не связываться. Я думаю, что идеальным является только такой вариант: а) находим уязвимости б) сообщаем банку любыми доступными средствами, не ограничиваясь только одним в) ждем 1 месяц, после чего выкладываем информацию на общедоступных блогах и публикуем соответствующий материал на Хабре в соответствующих разделах. Все это на условиях анонимности.

                                          Все остальное — чревато. Особенно, если в свою пользу обращать чужие средства.
                                          • +1
                                            Я думаю, что идеальным является только такой вариант...

                                            Если у вас нет на руках упомянутого вами договора с банком с печатью и подписями, то этот вариант тоже неидеален и чреват. А если есть, то фраза «все это на условиях анонимности» получается неуместной.
                          • +107
                            В СНГ одни не благодарные твари! Людям добро делаешь причём часто безвозмездно! А они! Сразу в суд. Ублюдки. У меня больше слов нет… Сам с такой реакцией сталкивался, и даже более на меня пытались дело завести…
                            • +22
                              Меньше читайте советских газет
                              Вот оригинал истории от главного действующего лица kpishnik.kpi.ua/archives/1114

                              Все тихо, чинно, и разобрались что к чему. Даже на работу позвали.
                              • +7
                                Внимательнее читайте газеты: они сначала типа пригласили и разобрались, а потом подали в суд.
                                • 0
                                  А можно уточнить, где именно писали, что уже подали в суд? В текущей статье упоминается только то, что рассматривают возможность возбуждения дела, но, это не значит, что уже что-то начали делать.
                                  • 0
                                    Вот посмотрите документики по другому аналогичному случаю.
                                    • +1
                                      Вы же сказали, что они подали на парня в суд, а в качестве факта почему-то отсылаете в 2010 год.
                                      • +3
                                        Я читал, что они подали заявление, но сканов документов не видел, поэтому ссылку дать не могу (да и не уверен, что читал в авторитетном источнике), а ссылка на аналогичный случай, просто как доказательство такой возможности и наличия прецедентов.
                                        • 0
                                          Не Иванов, а Рабинович. Не в рулетку, а в дурака. Не 10 тысяч, а 100 рублей. И не выиграл, а проиграл
                                • 0
                                  Что-то уже не доступно ((
                                  • 0
                                    Интересные там комментарии. Одна «специалистка» даже рассказала нам об этой уязвимости (правда, надо ещё знать номер карты и CVV2-код), которая, по сути дела, является мануалом по «Оплате через интернет».
                                  • +5
                                    Не совсем правомерное обобщение. Просто Приват это банк с репутацией. Была бы у меня такая репутация, я бы, наверное, застрелился.
                                    • 0
                                      Да не только приват банк. Одна из 30 контор в СНГ поступит нормально остальные начнут или угрожать или просто скажут всё нормально так и должно быть.
                                      • 0
                                        Не, все-таки у приветбанка особая репутация. Так сказать, на голову выше )
                                      • 0
                                        Всегда удивляло, у ПБ странная репутация, но как-то мало влияет на жизнеспособность. Такое ощущение, что не репутация определяет успешность (смайлик) этого банка.
                                        • 0
                                          В украинском Forbes была замечательная статья о них. Чудесный банк, чудесный хозяин и вообще там Кафка с Кэроллом нервно курят в уголке.
                                          Особые условия НБУ, более половины займов — афиллированым организациям (что наводит на мысль о фиктивных активах), рабовладельческое отношения к сотрудникам банка — это только малая доля того, что можно сказать о нем.
                                      • +11
                                        Чела видать по молодости жизнь не била, не усвоил он истину что добрые дела наказуемы. Не только в СНГ, это везде так.
                                        Всем ресерчерам следует уяснить: нашел уязвимость, юзай по-тихому, извлекай выгоду, если посадят то хоть не зазря. А если так уж хочется сообщить об уязвимости, то сообщать надо анонимно и не авторам софта, а всему миру, публикуя сразу рабочий эксплоит в открытых источниках. Только так можно получить положительный исход и не получить по морде.
                                        • +3
                                          Как бы жестоко всё это не звучало и не выглядело, но я согласен с вами полностью.
                                        • +3
                                          На улице гуляет папа с маленькой дочкой. Дочка заметила двух собачек в процессе любви:
                                          — Папа, что собачки делают?

                                          Папа (после паузы, вызванной мыслями как выйти из ситуации):
                                          — Доча, собачка повредила себе лапку и другая собачка тащит ее на себе в больницу.

                                          Дочка:
                                          — Папа, почему этот мир так несправедлив: ты пытаешься помочь кому-то, а тебя еще и трахают за это?!
                                        • +96
                                          «Нужно понимать, что он хакер. В цивилизованных странах это уже преступление.»
                                          Какая чушь.
                                          • +68
                                            «Он умеет пользуется интернетом, в цивилизованных странах это уже преступление!»
                                            Скоро так и будет
                                            • +43
                                              Если мне память не изменяет, в истории был период, когда было «он умеет читать и писать, это уже преступление». Как бы до такого обратно не докатились :(
                                              • +5
                                                На костер!
                                                • –10
                                                  Долго думал, это за девайс такой — coster. Типа bioreactor, что ли?
                                                • +1
                                                  серые роты- вперед!
                                                  • +1
                                                    «А вы вообще историю знаете и думать умеете!»
                                                  • +11
                                                    Само слово «хакер» уже сто лет в обед как не используется для обозначения «компьютерных взломщиков» — им преимущественно называют людей, которые любят что-то разбирать и модифицировать, заставлять работать «не так как задумано» — без преступной цели. Отсюда всякие лайфхакеры и т.п.

                                                    Что же касается цивилизованных стран, я хотел бы увидеть этот кодекс в котором есть статья «бытие хакером наказывается сроком лишения свободы в столько-то лет такого-то режима». Здесь правильно заметили что в цивилизованной стране этого программиста попытались бы взять на работу, да за приличную зарплату.
                                                    • +5
                                                      Hacker (programmer subculture), who combines excellence, playfulness, cleverness and exploration in performed activities.

                                                      Wikipedia
                                                      • +4
                                                        The basic difference is this: hackers build things, crackers break them.
                                                      • +2
                                                        Само слово «хакер» уже сто лет в обед как не используется для обозначения «компьютерных взломщиков»

                                                        Скажем так — оно особо и не использовалось для такого обозначения кроме как в жёлтых СМИ, а потом постепенно получило такое значение.
                                                    • +21
                                                      В цивилизованных странах такое предприятие ещё и предложит у себя работу.
                                                      • +1
                                                        Ну или хотя бы спасибо сказали и рекомендацию дали (или даже заплатили, зависит от жадности), если им не нужен сотрудник в штат.
                                                        • +8
                                                          В Приватбанке студенты работают по $200 в месяц (может сейчас чуть больше). Про них уже легенды ходят. Так что даже, если предложат — надо бежать.
                                                          • 0
                                                            Вы не поверите, но там платят $2000-3000
                                                            • –1
                                                              Слухи? Или можете как-то доказать?
                                                              • +3
                                                                Сам там работал да и вакансии поищите, Приват часто указывает зарплату
                                                                • –17
                                                                  %username% ты тоже прочитал слово «слухи» немного иначе?
                                                                • +3
                                                                  это не мешает им вносить правки «наживую» и ломать продакшн-сайт с завидной регулярностью
                                                                  • 0
                                                                    ИМХО, пусть лучше так, чем как остальные украинские банки в каменном веке застряли… У кого еще из украинских банков есть приложения для смартов?
                                                                    • 0
                                                                      Райффайзен, к примеру. Ну а то что приветбанк — «нечист на руку», убедился на личном опыте. Хотя, есть и покруче них.
                                                                      • 0
                                                                        СПДшникам райфайзен предлагает клиент для Windows Mobile. Очень современно, да
                                                                        • 0
                                                                          Про СПД не знаю, у меня счёт в Кредобанке, там веб-банкинг. Ну а если Вам «современность банка» важнее собственного достоинства — вопросов не имею.
                                                                          • +1
                                                                            Плакатик из теории большого взрыва jpg

                                                                            Последняя версия Windows Mobile (не Windows Phone!) выпущена в 2010 году. Устройства под нее массово прекратили выпускать и того раньше.
                                                                            • –1
                                                                              Спасибо, я в курсе разницы. Повторюсь: если есть выбор между банком-мошенником с мобильным клиентом, и нормальным банком но без мобильного клиента — я предпочту нормальный банк. Остальные могут идти в Приват.
                                                                            • 0
                                                                              Особенно меня прикалывает как всех клиентов привет-банка обязывают быть «мартышками с кредитками» на фотографиях… так и представляю себе внутренний ресурс привата: «Наши клиенты зверята». При попытке подобного плана фотографии, послал их нахрен. Впрочем, потом вообще их послал, хотя эти дегенераты до сих пор звонят, настаивая что у меня есть карточка, открытая в 2004 году и закрытая в 2005, а у них в системе она до сих пор не закрыта… короче, банк для клиентов «с приветом»… И плевать я хотел на их сеть банкоматов по всей стране, включая их банкинг.
                                                                              • 0
                                                                                Мне наяривали год. Требовали денег. Я требовал письменных претензий. В конце концов сказал «а я вообще не уверен что вы — представитель банка». Следующий раз перезвонили через полгода. Предложили услуги. На требование прекратить звонки дико удивлялись. Но звонить перестали.
                                                                                • 0
                                                                                  Не надолго… я им писал о прекращении работы с ними уже раз 50 за последние 2-3 года, как СПД закрыл, так с этим развод-банком работать и не хочу… :)

                                                                                  Вообще непонимаю клиентов банка… одним из последних нововведений у банка, оказалось введение комиссии за снятие денег в собственных же банкоматах О_о У меня паника была просто от этого дятлизма… нет, мне не жалко копеек тех которые оплачиваются… но студент снимающий 20 грн из стипухи на сигареты, к примеру, и вынужденный заплатить 1-2 грн комиссии… Что с вами не так, люди?!!!
                                                                                  • 0
                                                                                    Подайте заявление в милицию или прокуратуру. По закону они не имеют права хранить и обрабатывать личные данные клиентов, не имея на то письменного согласия клиента. Закон ввели в 2011-м. На архив не распространяется (обратной силы не имеет).
                                                                                    Кроме того, срок исковой давности по хозяйственным делам — 3 года. Т.е. если они не подали в суд спустя 3 года после «расставания» — это вымогательство.
                                                                                    • 0
                                                                                      Ой, поверьте, этот закон до заднего места. Пройденный этап уже… Проще посылать их во всех направлениях. А вообще если звонят с 092 — то это значит привет-бонк.
                                                                                      PS: я им еще и people.net простить не могу… из интересного оператора сделали г@в#о :)
                                                                                      • 0
                                                                                        Ну, у меня заткнулись после тонких намёков.

                                                                                        люди.нет — это вообще фейерично.
                                                                                        • 0
                                                                                          Без наездов… :) People.Net первый кто начал приличное что-то предоставлять по ценам. Развязало руки, и увеличило радиус действия моих поездок сначала до 50 км за город. Потом правда перешел на Интертелеком и увеличил радиус действия до водоема на котором и рыбу половить и поработать можно… :)

                                                                                          А вот когда эти пинчеры выкупили пиплонет, оно окончательно здохло.
                                                                                          • 0
                                                                                            Сдохло оно через год после покупки. Мне для поездок за город кроме них альтернативы нет, покрытие в том районе только у них и GSM. Так что ой.
                                                                                            • 0
                                                                                              А CDMA от Intertelecom не пробовали? Модем кстати перепрошить пипловый можно, если у Вас еще rev.A остался. А интер сейчас в принципе много чего покрывает, у Вас не указан регион, думал на карте глянуть: www.intertelecom.ua/ru/aboutcompany/cmap
                                                                                              До 2Мбит я имею практически везде. Разве что в Закарпатье в горах не везде ловит (в селах — есть).
                                                                                              • 0
                                                                                                Пробовали, правда тогда это ещё был CDMA.UA. Половина села с покрытием, половина — без. Мне надо как раз там, где покрытия нет.
                                                                                                www.intertelecom.ua/ua/aboutcompany/cmap/dn
                                                                                                Судя по карте, ситуация не изменилась.
                                                                                                • 0
                                                                                                  CDMA UA и Интертелеком — это вооообще разные операторы, и друг с другом никогда отношений не имели. Если половина села с покрытием, вторая без, то я лично у себя ставил усилитель (чтобы к теще достало), а потом нажаловалсфя в интер… через 4 месяца — поставили новую вышку. Они как-то подозрительно, но относительно быстро реагируют на такие запросы.

                                                                                                  Блин, все, кончаю про Интер писать, а то опять скажут что я в интертелекоме работаю :)
                                                                                                  • 0
                                                                                                    Теперь это один оператор. Как минимум — в Днепропетровске и области. Меня от них интересовала, в первую очередь, замена постоянно выходящему из строя проводному телефону, вариант с усилителем не подходил.
                                                                                                    • 0
                                                                                                      Незнал, что в Ваших краях так все печально… :( Я в Восточную Украину редко езжу… чаще на западную и по южной. Переезжайте к нам! :)
                                                                                        • 0
                                                                                          Ко мне с городских звонили. 056 — код Днепра вроде.
                                                                                          • 0
                                                                                            056 7369129 — это из моего «чёрного списка»
                                                                      • +2
                                                                        Кому? У них вакансии на сеньор разработчика 500-600$, недавно смотрел.
                                                                    • +5
                                                                      Книга есть такая- The Lure (S. Schroeder). Там отлично изложена история про двух челябинских специалистов, которых пригласили на работу в США. Контракты, помнится, вышли лет по 5-7 с бесплатным проживанием и одеждой с едой на шару.
                                                                    • +31
                                                                      А Google, Facebook, Mozilla, Microsoft, которые платят за найденные баги, несомненно, находятся в каком-нибудь Сомали, да.
                                                                      • 0
                                                                        Ну, хакеру, который запостил что-то на стену Цукерберга через уязвимость, так и не заплатили, хотя в предыдущие полгода он несколько раз писал отчёт об этой уязвимости в их службу поддержки.
                                                                        • 0
                                                                          Так собрали же вроде всем светом 12к зеленых.
                                                                          • 0
                                                                            Речь шла о том, что компании платят за найденные уязвимости.
                                                                            • +1
                                                                              Компании-то платят, но при соблюдении определенных условий, а индус собственно их нарушил.
                                                                              • 0
                                                                                Вроде бы он палестинец был…
                                                                          • 0
                                                                            Так пусть радуется, что дело не завели
                                                                          • +2
                                                                            Программа «Bug Bounty» есть и у ПриватБанка, начиная с 2011 года.

                                                                            Называется она «Поиск IT-уязвимостей»: privatbank.ua/safeness/

                                                                            Если Вам известны «слабые места» в банковских системах, а также любых веб-ресурсах ПриватБанка, сообщите об этом нам и получите вознаграждение до 10 000 гривен в случае подтверждения и устранения уязвимости специалистами Банка.

                                                                            • +1
                                                                              А если устранить не смогут, то посадят?
                                                                          • +59
                                                                            Ну не говорить же, что мы идиоты и запустили в паблик дырявое приложение, которое позволяет кому угодно распоряжаться деньгами наших клиентов — поэтому надо срочно свалить с больной головы на здоровую!
                                                                            А к Приватбанку один вопрос: ВЫ ОХЕРЕЛИ ТАМ? Я ваш клиент уже 7 лет, и знаете, что я сейчас делаю? Я ищу другой банк!
                                                                            • +29
                                                                              А кто их вообще за язык тянул? Заплатили бы человеку, но при этом попросили подписать NDA — и дело с концом.
                                                                              А так они заяву накатали на ровном месте, и думали что огласки не будет? По сути сами же ее и создали.
                                                                              • +12
                                                                                Там не понимают этого, они и в перспективе ничего не видят даже — следующий раз фиг кто скажет, что нашел в них баг — быстрее продаст на черном рынки (или на крайняк использует сам). В результате банк потеряет кучу денег из-за использования уязвимости и еще больше репутации в случае поднятия шуму людьми, у которых пропадут деньги.
                                                                                • 0
                                                                                  Теряет не банк деньги, а клиенты… недавно у знакомого 150 000 грн увели с Приват-Банк24, вернуть удалось только 70 или 80к. Банку было вообще нас&ать. Даже СБ не шевелилась.
                                                                                  У этого недобанка уже давно репутации нету…
                                                                              • +1
                                                                                Вы только сейчас начали искать другой банк? Да вы сударь терпеливый.
                                                                              • +15
                                                                                Кстати как идентифицируют что ты хакер?
                                                                                Это на лбу надпись светится? По моему любой разработчик может сделать анализ работу чужого софта, разве все программист хакеры?
                                                                                • +12
                                                                                  Очень просто: если ты нашел баг в чужой системе, ты — хакер, а это преступление!
                                                                                  • +2
                                                                                    Правильно! Ибо обычные люди пользуются сервисами, а не ищут в них уязвимости.
                                                                                    • 0
                                                                                      Обычные люди, «продвинутые пользователи» тоже вполне могут случайно натолкнуться на баг, и понять его суть. В этом случае преступлением станет любопытство и желание помочь сотрудникам банка исправить их ошибку :)
                                                                                      • +2
                                                                                        Нет. Ибо это автоматически делает обычного человека «хакером». Честный человек должен закрыть глаза и пройти мимо. Да-да. Именно так оно и должно работать по мнению закона.
                                                                                        • 0
                                                                                          Мне очень жаль, что у нас не такое общество, в котором есть только честные люди. В таком обществе и банков бы не было.
                                                                                          • 0
                                                                                            Как связаны банки и (не)честность?
                                                                                            • 0
                                                                                              Это комплексный вопрос. Но в частности, в уважаемом себя обществе не будет мысли выдавать кредиты под 56% годовых.
                                                                                              • +1
                                                                                                Если заемщик об этом уведомлен, то почему нет?
                                                                                                • 0
                                                                                                  Он не уведомлён. Мне пришлось полчаса потратить, чтоб высчитать по всем формулам суммарную переплату. В результате я отказался от кредита.
                                                                                                • 0
                                                                                                  Ну так ставки напрямую от рисков и сроков зависят.
                                                                                                  Обеспеченные недвижимостью ипотечные кредиты вот вполне себе недорогие.
                                                                                                  А кредит-займ на неделю без проверки платежеспособности — естественно, будет дорогой (и не 56%, а вполне и все 560% может быть), иначе кредитор превратится в благотворительную организацию )
                                                                                                  • 0
                                                                                                    И даже 730% вполне реально :)
                                                                                                    • 0
                                                                                                      Он естественно дорогой, т.к. отсутствует фактор честности и самоуважения, как было отмечено выше.
                                                                                                      С обеих сторон.
                                                                                                      Да само понятие инфляции, которым оправдывают процент на кредит, не должно существовать.
                                                                                                      • 0
                                                                                                        Да само понятие инфляции, которым оправдывают процент на кредит, не должно существовать.

                                                                                                        Как так не должно? Куда же она денется? )
                                                                                                        • 0
                                                                                                          Сбалансированная монетарная политика позволяет исключить инфляцию. Но её полное отсутствие многими специалистами считается негативным фактором для экономики. У людей меньше стимулов инвестировать и больше хранить деньги «под матрацем».
                                                                                                        • 0
                                                                                                          Процент на кредит обуславливают обычно двумя вещами:
                                                                                                          — прибылью (большей инфляции как правило) — инвестору будет неинтересно давать деньги в долг без получения прибыли
                                                                                                          — рисками — инвестор должен учитывать риск того, что кто-то кредит не вернет и понесет убытки.
                                                                                          • 0
                                                                                            «Реверс-инженеринг — нарушение EULA;-)». Дальше от этого можно плясать куда угодно…
                                                                                            • 0
                                                                                              Прошу прощения что поднял тему.
                                                                                              Но именно такая позиция у Oracle.
                                                                                              И, имхо, такого быть не должно…
                                                                                        • +9
                                                                                          Что за привычка ссылаться на практику «в цивилизованных странах», обосновывая репрессивные действия. Как в хороших начинаниях брать пример с цивилизованных стран, так нет — «у нас свой путь».
                                                                                          • 0
                                                                                            «Система ниппель: туда — дуй, оттуда — , в общем, 'не дуй'»;-) тоже в некотором смысле «двойные стандарты»…
                                                                                        • +5
                                                                                          Надо понимать, что у них система безопасности бьет тревогу даже когда переводишь деньги между своими картами в разных банках. Так что приведенный аргумент(со стороны привата) для меня сомнителен.
                                                                                          • +3
                                                                                            Самое страшное, что все логичные доводы (изменил для целей показа, никаких денег не заработал, уведомил сразу банк и пр.) нашим «самым гуманным судом в мире» не будут услышаны, ведь у истца есть связи и миллионы. У нас так людей за клевету на форумах штрафуют — написал, что «фирма Рога и Копыта не выполнила мне ремонт, гандоны долбаные», и получаешь потом штраф или исправительные работы.
                                                                                            • 0
                                                                                              Ну как аукнется так и откликнется.
                                                                                              • +2
                                                                                                Уверен многие (в т.ч. и КПИшники) поддержат парня в случае, если дело пойдет дальше обычных обсуждений в СМИ
                                                                                              • +16
                                                                                                ПриватБанк те еще неадекваты. Стоит только поискать:
                                                                                                habrahabr.ru/post/78599/
                                                                                                habrahabr.ru/post/93643/
                                                                                                habrahabr.ru/post/138429/
                                                                                                habrahabr.ru/post/104233/
                                                                                                habrahabr.ru/post/111853/

                                                                                                Кстати, вчера по всей Украине лежала куча их POST-терминалов, Приват24 не работал, мерчанты постоянно выдавали ошибки (у нас штук 50 платежей не ушло из-за бредовых ошибок вроде «Невозможно оплатить с мерчанта 0» и ошибок SSL).
                                                                                                • 0
                                                                                                  Может они как Apple сейчас начнут перелопачивать всю систему безопасности и закроются на 2-3 недели. :)
                                                                                                  • +2
                                                                                                    действительно ПРИВАТ
                                                                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                      • –3
                                                                                                        Тогда уж «ПреведБанк» :D
                                                                                                    • –3
                                                                                                      Не ошибается тот, кто ничего не делает. У остальных украинских банков android-приложений вообще нет, и с клиент-банками все грустно
                                                                                                      • –1
                                                                                                        Неправда. ИМХО фигачить под все и вся приложение не есть правильная тактика. Достаточно одного качественного веб-интерфейса для ЛЮБОГО устройства.
                                                                                                        Клиент-банки есть у многих банков в Украине.
                                                                                                        У приват-банка он, имхо, самый сложный и запутанный.
                                                                                                        • +1
                                                                                                          Он может и сложный (хотя как по мне — не сложнее OTP'шного), но зато гораздо функциональней.
                                                                                                          Например я узнавал у того-же OTP — их интернет-банк не позволяет проводить обмен валют, а для меня это нужная операция, хотя может их сотрудница неправильно выразилась. Не говоря уже об интерфейсе для пополнения телефона, покупки билетов, пополнения своего счета через любую карту и прочего функционала.
                                                                                                          • +1
                                                                                                            А кроме ОТР других банков нет, у меня не Приват уже много лет как отказался работать с этим дерьмобанком, есть карты нескольких других банков и там очень даже вменяемый клиент-банк, включая любые платежи, покупки и т.п. Рекламировать не буду, если нужно найдете функциональный клиент-банк за пол часа просто позвонив в службу поддержки разных банков.
                                                                                                            • 0
                                                                                                              Да есть другие банки, это те два — которыми я пользуюсь лично. Остальные знаю только по рассказам. Но это не только мое мнение, что ПБ по количеству услуг в онлайн-банке (к сожелению, не по качеству) заметно опережает другие банки.
                                                                                                              • 0
                                                                                                                Рекламировать не буду

                                                                                                                Рекламировать не надо. Просто оставьте ссылку.
                                                                                                                • 0
                                                                                                                  Лично мне нравится клиент Альфа Банк (Украина), как веб так и мобильное приложение. Из фишек, которых нет больше почти ни у кого — блокировка/разблокировка проверки cvv, что позволяет не напрягаться и платить со своей карты в любой точке мира онлайн, не думая, что тебя подцепят на регулярные платежу. Из негатива, по слухам, отвратительное обслуживание кредитуемых клиентов, но я кредиты не беру так что сервис устраивает.
                                                                                                                • +3
                                                                                                                  Приходится работать с ПБ только потому, что у каждого клиента есть карта ПБ. Хоть об этом банке и известно много гадостей, нас это ниразу не коснулось.
                                                                                                                  Несмотря на всю косность службы безопасности (а именно они, судя по всему, и начали создавать видимость бурной деятельности, как это было в своё время с детектором лжи), их IT-подразделение, хочу заметить, занимается экспериментальными и передовыми (как минимум, для Украины) разработками в сфере интернет-банкинга. Это в ПБ я впервые получил возможность работать со своими счетами в терминалах и банкоматах даже без карты в кармане. Это у них есть мобильный платёжный терминал (первый и, пока, единственный в Украине). Это на тематической встрече, организованной ими, я смог увидеть одни из первых Google Glass в Украине. И, кстати, они экспериментируют с Приват24 для Google Glass.
                                                                                                                  Имея карты и счета в других банках, более удобного веб-сервиса я не знаю.
                                                                                                                  • +4
                                                                                                                    Почему я отказался от работы с приватом, было 3 прецедента:
                                                                                                                    1) Находясь не в своем городе, банкомат сожрал карту, нужны были срочно деньги, в наличии был паспорт и загран-паспорт, в отделении мне отказали в выдаче денег с моего счета, т.к. внимание, у меня нет карты, перевыпуск карты занял почти месяц.
                                                                                                                    2) После попытки нелегально списать деньги с моей карты, попытался закрыть свой счет, но не смог получить деньги оставшиеся там сразу, процедура заняла 2 недели со звонками в главное отделение.
                                                                                                                    3) Через 3 года после того как перестал пользоваться их услугами (все счета закрыл, со скандалом по пункту 2) мне начали названивать представители банка и в ультимативной форме требовать погасить задолженность, так как якобы у меня остались не закрытые счета (какая-то хрень типа подарочной карты, которая выпускается без ведома клиента) и тададам они мне насчитали комиссию за ее обслуживание, естественно были посланы в жопу суд, но звонки не прекратились, хорошо у них был старый номер, который не жалко было выбросить (на заметку тем кто открывает у них счета, в информации указывать отдельный номер).

                                                                                                                    В дополнение на товарища они оформили кредит, который он не открывал, доказывал через суд, банк не смог предоставить копию договора с его подписью, та копия что была, была подписана не им, соответственно экспертиза подписи и испорченные нервы на пол года. Про их говносервис liqpay, который теряет платежи через раз еще можно рассказать. Хуже сервиса нет ни у одного банка, в плотную к ним стремится Аваль, но пока даже близко не догоняет, зато банкоматы по всему городу — это да, хотя нафига они нужны если карты принимают в любом магазине, не ясно. В кошельке обычно гривен 200 мелкими купюрами, на проезды, и всякие мелочи, остальное на картах ибо удобней.
                                                                                                                  • 0
                                                                                                                    А личным сообщением прорекламировать тоже никак?
                                                                                                                  • 0
                                                                                                                    После того как я увидел их UI для клиентов у меня напрочь отпало желание иметь с ними дело, поскольку такой же хаос наверняка вторится и во всем остальном. Ну а о секьюрности, думаю, можно не говорить, посольку судя по UI/UX денег в back-office вложили маловато.

                                                                                                                    Из всех перечисленных операций в моембанке нет только обмена валют (не особо и надо).
                                                                                                                    Остальное все можно сделать на специальных сайтах (билеты, телефон etc).
                                                                                                                  • 0
                                                                                                                    субъективно: пользовался ПБ, дельта и пумб.
                                                                                                                    В последнем у меня их клиент-банк под линуксом не запустился, саппорт заявил, что они не поддерживают ничего, кроме виндовс (при том, что это java-апплет и, по хорошему, должен одинаково работать во всех ОС). После переписки с саппортом выяснили ошибку и протестили на их дев. сервере, еще через месяц они залили обновление на прод. В это время я уже не был их клиентом.
                                                                                                                    Клиент-банк от дельты запустился без проблем, но, по сравению с тем же приват24, он куда более сложный и непонятный
                                                                                                                    • –2
                                                                                                                      Балованый вы клиент однако. Сталкивался с похожей проблемой в разных банках — версия java vm или браузера.
                                                                                                                      Ничего страшного в этом не вижу.
                                                                                                                    • –1
                                                                                                                      Я вот как раз недавно интересовался, даже здесь в Q&A вопрос оставил. Подскажите, у кого в Украине есть работающий веб-интерфейс для СПД? Все остальные в лучшем случае используют страшненький джавовский iFOBS, в худшем случае (аваль) вообще какое-то глючное говно, написанное студентами за еду.
                                                                                                                      • –1
                                                                                                                        У всех есть, не поверите.
                                                                                                                        И у всех работающие.
                                                                                                                  • +1
                                                                                                                    ну POS же… айтишный ресурс, блин :)
                                                                                                                  • +5
                                                                                                                    Надо понимать что за такую дыру в протоколе по голове гладить не будут. В первую очередь отгребут работники ПриватБанка. Какой выход? Свалить вину на кого-то еще. Это вообще прекрасный оборот:

                                                                                                                    Изъян в системе, который он нашел, не является страшным, не особенно угрожает клиентам банка.

                                                                                                                    И репутацию подмочили и о дальнейшем сотрудничестве речи быть не может. Кто из разработчиков захочет им рассказывать где у них еще прокол? Я бы не рассказывал.