ПриватБанк обвинил украинского программиста во взломе своего Android-приложения

    КПИшник Алексей Мохов, бывший сотрудник украинского Samsung и Viewdle, нашел уязвимость в Android-приложении «Приват24». ПриватБанк ответил неожиданно, обвинив программиста в попытке украсть средства со счетов клиентов банка.
    image


    Как сообщается на украинском портале студгазеты КПИ

    Со слов Алексея:

    Сейчас я занимаюсь софтом для служб такси в Киеве (как-то так вышло, что занесло в эту степь, раньше работал в Samsung & Viewdle). Так вот. Стояла задача периодически проверять баланс банковских карт ПриватБанка ну и если надо — переводить средства на другую карту. Почему ПриватБанка? Потому что у них одна из самых больших сетей ТСО (терминалов самообслуживания). Схема такова — таксист подходит к ТСО, приложение для пополнения счета в такси запрашивает номер карты, система выдает ему карту и ожидает поступления средств. Как только средства упали на карту — зачисляет средства в системе такси.

    В ходе исследования протокола связи с банком я заметил пару ошибок в системе безопасности. Начал глубже копаться в них. Оказалось, что банк позволял еще и переводить средства с карты на карту хоть в другой банк, хоть в другую страну (через Visa/Mastercard). Это помимо доступа к конфиденциальным данным человека (баланс, счета, кредиты, депозиты в банке).

    После проведения экспертизы я написал об этом в твиттер, связавшись с аккаунтом ПриватБанка. Помимо этого написал сотруднику ПриватБанка в Днепропетровск, чтобы на меня быстрее вышла Служба безопасности банка.

    В тот же день вечером ПриватБанк из штабквартиры в Днепре написал служебку в Киевское отделение Привата на Печерске, написали само собой в отдел СБ. Со мной созвонился представитель Привата В. Максименко и предложил встретиться, показать и рассказать что там да как. Произвел впечатление опытного специалиста, никто не давил на меня (вроде даже и не думали).

    Ну я приехал, показал и рассказал, как программисты Привата допустили дыру в безопасности. Показал, как можно подставить в принципе любого человека, даже председателя правления Привата. Еще я подменил официальное приложение банка (добавил в него свой код) и показал, что можно сделать с ним. Почти нереально отличить официальное от модифицированного. Они в шоке были, отдел из 8-10 человек в комнате, — все работают и в пол-уха слушают мой монолог про все эти дела.


    «Нужно понимать, что он хакер. В цивилизованных странах это уже преступление. Изъян в системе, который он нашел, не является страшным, не особенно угрожает клиентам банка. Как только Мохов попытался перевести чужие деньги, наша система безопасности забила тревогу. Его бы обязательно нашли», – говорит начальник пресс-службы «ПриватБанка» Олег Серьга.

    В результате ПриватБанк начал расследование попытки взлома своей системы безопасности программистом Алексеем Моховым, который ранее работал в компании Samsung и проекте Viewdle. В ближайшие две недели руководство банка решит, возбуждать ли дело по этому факту.
    Метки:
    Поделиться публикацией
    Комментарии 262
    • +68
      Материальный ущерб никому не нанесен ведь. За что возбуждать дело?
      • +30
        >В цивилизованных странах это уже преступление.

        • +8
          Так то ж в цивилизованных )
          • +27
            В цивилизованных странах банк бы ещё вознаграждение хакеру дал, а сам факт наличия уязвимости (пусть уже устранённой) не придавал бы огласке, ибо портит имидж.
            • +6
              мыслепреступление
            • +17
              Та привет-банк еще то УГ.
              Постоянно деньги куда-то деваются. Бывает даже такое что оплата не до конца проходит, деньги списаны а услуга не оплачена, видимо там о транзакциях никто не слышал…
              И по-поводу «Его бы обязательно нашли» знаю сотни живых случаев когда у людей деньги пропадают и все…
              • +3
                Кстати был случай у закомого, на чеке написало мелким шрифтом «транзакция будет проведена в течении трех суток». Трое суток! Я в шоке, как быстро деньги ходят в системе… наверное укрпочтой везут…
                • +2
                  Трое суток. Хех. Деньги со статусом «собственные средства» (входящий перевод на карту) получали статус «доступно» (то есть чтобы я мог расплатиться картой или снять кэш с неё) больше десяти суток. И то, похоже, триггером послужил мой вход в онлайн-банкинг.
                  • +1
                    Более 10 суток? Ого, вот это они гонят…
                    • 0
                      Регламент.
              • +8
                Возможно нахватаю сейчас минусов, но…

                Например, по украинскому аналогу 272?

                Я попытался несколько раз сделать перевод средств при помощи получения 4 последних цифр карты. У меня это получилось. Чтобы никого не подставлять, сделал перевод на свою карту. После успешного перевода написал в твиттер банка. Потом сотруднику банка.

                То есть то, что назвали «мошенническими транзакциями», — это были твои тестовые попытки перевести деньги с одной карточки на другую?

                Чтобы доказать, что уязвимость есть, нужно убедиться в работоспособности методов. Для этого случайным образом из базы данных ПриватБанка был выбран человек (фамилия у него как то на «У» начинается, не помню уже). Ну я доказал и пошел все показывать.


                Т.е. не получая никакого разрешения от привата, он с чьего-то счета перевел себе на карточку сумму. Да, деньги он вернул, но фактически это взлом. Да и как по мне, публично через твиттер ставить в известность приват о том, что у них имеются дыры в безопасности, как-то дико.
                • +10
                  Больше всего меня удивило, что снял деньги он не у своего знакомого по договоренности, а у левого человека.
                  Вот это было глупо.
                  Но я ни в коем случае не хочу оправдывать Приват — еще те засранцы.
                  • 0
                    Вероятно он сам был в шоке что деньги взялись. Думаю если бы он больше склонялся к тому что это сработает то не переводил бы деньги с чужого счета.
                  • НЛО прилетело и опубликовало эту надпись здесь
                  • +3
                    Как говорил мой комбат: Можно и к столбу дое… ся, почему он без фуражки
                  • +100
                    Чем признаться и страдать — лучше с$%*дить и молчать!)
                    • +4
                      Он поступил правильно. Может быть это покажется парадоксом, но от честных поступков прибыли бывает больше. Теперь этот программист знаменит, и его с радостью возьмут в СБ многих компаний. И что самое главное — он зарекомендовал себя очень честным и порядочным человеком.
                      • +8
                        его с радостью возьмут в СБ многих компаний

                        Главное что бы не после нескольких лет колонии.
                        • +2
                          Не согласен с тем, что возьмут в СБ многих компаний, т.к. СБ — это не программисты, а чекисты они действуют по факту, а все остальное это проблемы админов.
                          • +1
                            Есть те, кто действуют по фактам, есть те кто разрабатывает софт для обнаружения фактов.
                            • 0
                              Надо им писать масово сообщения о том что известно о новой такой же уязвимости в их программном продукте — «только мы теперь об этом вам не скажем». Кому то другому.
                            • +1
                              В случае, когда, например, у вас щипачи вытащат бумажник и отдадут администрации рынка, мол, видите, тут можно любого обокрасть, как вы отнесетесь к пропаже бумажника, осознанию факта, что это было воровство ради тестирования безопасности рынка? И, самое главное, как должна поступить администрация рынка по отношению к человеку, вытащившему бумажник? С моей точки зрения тут все просто: за благими намерениями кроется фактическое воровство (с точки зрения закона, а не справедливости). Да и с точки зрения справедливости тоже не все хорошо: используя такую же логику, мы скоро сможем увидеть всяких скрипт-киддиз разгуливающих по вашим квартире/дому с заявлениями «Я просто тестирую ваш дом на предмет уязвимостей».
                              • +3
                                Вашу аналогию следует подкорректировать:
                                — Устройства для ношения бумажников выдает администрация рынка.
                                — Бумажники на территории рынка носить разрешается исключительно в этих выданных администрацией устройствах. Иначе покупатель на рынок вообще не будет допущен.
                                — Деньгами из устройства клиент расплачивается не напрямую, а через сотрудников рынка. Сотрудники рынка, как оказалось, подслеповаты и спокойно могут расплатиться с чужого устройства — любого, на которое покажет вор.

                                Вот теперь аналогия ближе к рассматриваемой ситуации.
                                И теперь вина администрации рынка просматривается гораздо выше, чем вина человека, который продемонстрировал дырявость нанятых ею сотрудников. Поэтому ее желание сделать козлом отпущения хакера, а не себя, любимую, вызывает отвращение.
                                Что касается хакера, то его вина в том, что он проверял уязвимость не на своих, а на чужих счетах. Завел бы себе 2 карты и перечислял бы с одной на другую. Согласно вашей 2-ой аналогии: ходил бы по СВОЕМУ, а не чужому дому и проверял бы его на предмет уязвимостей.
                                • 0
                                  его вина в том, что он проверял уязвимость не на своих

                                  Хакер не «проверял уязвимость», а перечислил чужие деньги на свой банковский счет. Если мы позволим оправдывать обращение чужого имушества в свою пользу словами(!), мол, я тестировал уязвимость, то мы получим десятки тысяч ненаказанных уголовников в первый же день.

                                  Я пытаюсь донести простую мысль: чужое брать нельзя. И наш «хакер» с точки зрения закона — вор вне завимости от участия банка в этой истории.

                                  К банку тоже есть вопросы, но это другая история. Нужно подымать законодательство соседей, жаловаться регулятору и пр.
                                  • 0
                                    Хакер не «проверял уязвимость», а перечислил чужие деньги на свой банковский счет.

                                    Проверка уязвимости — это попытка выполнить неразрешенную операцию. В случае с банком — это попытка провести неразрешенную транзакцию. Только успешное проведение неразрешенной транзакции позволяет заявлять о наличии уязвимости. Всё остальное — бла-бла-бла, ничем неподкрепленное.
                                    Если несогласны — попробуйте предложить свой вариант проверки уязвимостей произвольных переводов.

                                    Если мы позволим оправдывать обращение чужого имушества в свою пользу словами(!), мол, я тестировал уязвимость, то мы получим десятки тысяч ненаказанных уголовников в первый же день.

                                    Вы меня не поняли. Прочитайте внимательнее — я нигде не оправдывал обращение чужого имущества в свою пользу. Наоборот, я считаю хакера виноватым: он для своего эксперимента использовал ЧУЖИЕ, а не свои деньги. А если бы использовал свои, то ваша претензия «обращение чужого имущества в свою пользу» превратилась бы в «обращение своего имущества в свою пользу», т.е. потеряла бы смысл. Согласны?
                                    • 0
                                      Да, похоже неправильно вас понял, но

                                      он для своего эксперимента использовал ЧУЖИЕ, а не свои деньги

                                      Даже если бы это были его деньги (переводимые с собственного счета на собственный же счет), это опять же — неправомерный доступ к комьютерной информации, просто без причинения ущерба третьим лицам.

                                      По поводу «проверок уязвимостей». Уголовная статься, так или иначе покрывающая множество «операций, совершаемых для получения несанкционированного доступа к тому-то и тому-то» есть, думаю, во всех странах. Соостветственно, даже в поисках уязвимостей всегда есть уголовный подтекст. Никто не будет учитывать «благие намерения» в «поиске уязвимостей»: получил неправомерный доступ — получи срок. Таким образом, программа банка по поиску уязвимостей является (частично) подстрекательством к преступлению.

                                      Мой вариант проверки уязвимостей (на примере банка): делается sandbox-environment с тестовыми счетами и пр. В андроид-приложении устанавливается developer mode. На сайте банка выдается автоматическое разрешение, инструкция к использованию и документ на обеспечение условий для тестирования ИмяФамилия, логины-пароли, сертификаты и остальное, все, что необходимо.
                                      • +1
                                        Я слабо представляю себе ситуацию, когда банк будет создавать sandbox-environment с тестовыми счетами каждому встречному-поперечному.
                                        Представьте, что вы — IT-специалист банка. И приходит к вам начинающий недохакер и заявляет:
                                        — У вас в протоколе обмена я обнаружил некое поле. Если его неправильно заполнить, то платеж станет неверным. Дайте мне возможность поэкспериментировать с его заполнением.
                                        Ну не смешно ли? Во-первых, с чего он решил, что на стороне банка нет проверок этого поля? Может, там их штук 100, просто он о них еще не знает. Во-вторых, будете ли вы всем подряд, кто впервые ознакомился с протоколом обмена, выделять программные и аппаратные ресурсы для проверки их дилетантских догадок и давать упражняться во взломе своей банковской системы?

                                        Мне кажется, это из области фантастики — ни один банк на такое не пойдет. Другое дело, когда речь идет о специализированной компании, профессионально занимающейся тестированием информационной безопасности.

                                        Что касается уголовного подтекста поиска уязвимостей — это отдельный разговор.
                                        С одной стороны, вседозволенность недопустима. А с другой стороны, если любой поиск считать уголовщиной, то это будет способствовать наплевательству на безопасность со стороны разработчиков (что, собственно, и произошло в обсуждаемом случае), а, значит, тоже недопустимо (см. законы Мерфи про дятла, способного разрушить всю цивилизацию).
                                        • 0
                                          Другое дело, когда речь идет о специализированной компании, профессионально занимающейся тестированием информационной безопасности

                                          Я понимаю про компанию, но у нас есть специализированная кампания (крутить вниз). Еще раз повторюсь — у нас (и у соседей) невозможно искать уязвимости без попадания на «неправомерный доступ к компьютерной информации», кроме как, например, с использованием способа, который я предложил выше.

                                          Я слабо представляю себе ситуацию, когда банк будет создавать sandbox-environment с тестовыми счетами каждому встречному-поперечному

                                          Не надо каждому — сделать один на всех sandbox-environment и вперед, пусть ищут за денежку. И волки сыты и овцы целы и имидж где надо.
                                          • +1
                                            Не надо каждому — сделать один на всех sandbox-environment и вперед, пусть ищут за денежку.

                                            Если вам не нравится слово «создавать», то я могу его заменить на «предоставлять»:
                                            Я слабо представляю себе ситуацию, когда банк будет предоставлять sandbox-environment с тестовыми счетами каждому встречному-поперечному. Даже если sandbox — один на всех.

                                            Обратите внимание: тот же ПриватБанк, на страничку которого вы привели ссылку, желает получать исключительно ГОТОВУЮ информацию, а не создавать условия для ее получения — предоставлять sandbox, документацию, тестовые логины/пароли и т.п. Оно и понятно: чем меньше людей знает, как всё устроено и работает, тем спокойнее банку спать. Поэтому я и не верю, что банки будут заниматься этим.
                                        • +1
                                          получил неправомерный доступ — получи срок. Таким образом, программа банка по поиску уязвимостей является (частично) подстрекательством к преступлению.

                                          А разве подобные программы не являются санкцией на доступ в обход средств защиты?
                                          • 0
                                            не являются санкцией на доступ в обход средств защиты

                                            Зная любовь к бумажкам всего постсоветского пространства, думаю, что нет. Потому что, например, первое, что попросят правоохранительные органы — «разрешение на доступ в обход средств защиты», заверенное банком с печатями и подписями. И не дай бог там не будет указаны даты, временные промежутки, ответственные лица и т.д. и т.п.

                                            Более того, банк в любой момент может убрать свою кампанию (сроки кампании на сайте не указаны) и сказать, что «нас вообще взломали и мы такую кампанию не проводили».

                                            Если в двух словах — лучше не связываться. Я думаю, что идеальным является только такой вариант: а) находим уязвимости б) сообщаем банку любыми доступными средствами, не ограничиваясь только одним в) ждем 1 месяц, после чего выкладываем информацию на общедоступных блогах и публикуем соответствующий материал на Хабре в соответствующих разделах. Все это на условиях анонимности.

                                            Все остальное — чревато. Особенно, если в свою пользу обращать чужие средства.
                                            • +1
                                              Я думаю, что идеальным является только такой вариант...

                                              Если у вас нет на руках упомянутого вами договора с банком с печатью и подписями, то этот вариант тоже неидеален и чреват. А если есть, то фраза «все это на условиях анонимности» получается неуместной.
                            • +107
                              В СНГ одни не благодарные твари! Людям добро делаешь причём часто безвозмездно! А они! Сразу в суд. Ублюдки. У меня больше слов нет… Сам с такой реакцией сталкивался, и даже более на меня пытались дело завести…
                              • +22
                                Меньше читайте советских газет
                                Вот оригинал истории от главного действующего лица kpishnik.kpi.ua/archives/1114

                                Все тихо, чинно, и разобрались что к чему. Даже на работу позвали.
                                • +7
                                  Внимательнее читайте газеты: они сначала типа пригласили и разобрались, а потом подали в суд.
                                  • 0
                                    А можно уточнить, где именно писали, что уже подали в суд? В текущей статье упоминается только то, что рассматривают возможность возбуждения дела, но, это не значит, что уже что-то начали делать.
                                    • 0
                                      Вот посмотрите документики по другому аналогичному случаю.
                                      • +1
                                        Вы же сказали, что они подали на парня в суд, а в качестве факта почему-то отсылаете в 2010 год.
                                        • +3
                                          Я читал, что они подали заявление, но сканов документов не видел, поэтому ссылку дать не могу (да и не уверен, что читал в авторитетном источнике), а ссылка на аналогичный случай, просто как доказательство такой возможности и наличия прецедентов.
                                          • 0
                                            Не Иванов, а Рабинович. Не в рулетку, а в дурака. Не 10 тысяч, а 100 рублей. И не выиграл, а проиграл
                                  • 0
                                    Что-то уже не доступно ((
                                    • 0
                                      Интересные там комментарии. Одна «специалистка» даже рассказала нам об этой уязвимости (правда, надо ещё знать номер карты и CVV2-код), которая, по сути дела, является мануалом по «Оплате через интернет».
                                    • +5
                                      Не совсем правомерное обобщение. Просто Приват это банк с репутацией. Была бы у меня такая репутация, я бы, наверное, застрелился.
                                      • 0
                                        Да не только приват банк. Одна из 30 контор в СНГ поступит нормально остальные начнут или угрожать или просто скажут всё нормально так и должно быть.
                                        • 0
                                          Не, все-таки у приветбанка особая репутация. Так сказать, на голову выше )
                                        • 0
                                          Всегда удивляло, у ПБ странная репутация, но как-то мало влияет на жизнеспособность. Такое ощущение, что не репутация определяет успешность (смайлик) этого банка.
                                          • 0
                                            В украинском Forbes была замечательная статья о них. Чудесный банк, чудесный хозяин и вообще там Кафка с Кэроллом нервно курят в уголке.
                                            Особые условия НБУ, более половины займов — афиллированым организациям (что наводит на мысль о фиктивных активах), рабовладельческое отношения к сотрудникам банка — это только малая доля того, что можно сказать о нем.
                                        • +11
                                          Чела видать по молодости жизнь не била, не усвоил он истину что добрые дела наказуемы. Не только в СНГ, это везде так.
                                          Всем ресерчерам следует уяснить: нашел уязвимость, юзай по-тихому, извлекай выгоду, если посадят то хоть не зазря. А если так уж хочется сообщить об уязвимости, то сообщать надо анонимно и не авторам софта, а всему миру, публикуя сразу рабочий эксплоит в открытых источниках. Только так можно получить положительный исход и не получить по морде.
                                          • +3
                                            Как бы жестоко всё это не звучало и не выглядело, но я согласен с вами полностью.
                                          • +3
                                            На улице гуляет папа с маленькой дочкой. Дочка заметила двух собачек в процессе любви:
                                            — Папа, что собачки делают?

                                            Папа (после паузы, вызванной мыслями как выйти из ситуации):
                                            — Доча, собачка повредила себе лапку и другая собачка тащит ее на себе в больницу.

                                            Дочка:
                                            — Папа, почему этот мир так несправедлив: ты пытаешься помочь кому-то, а тебя еще и трахают за это?!
                                          • +96
                                            «Нужно понимать, что он хакер. В цивилизованных странах это уже преступление.»
                                            Какая чушь.
                                            • +68
                                              «Он умеет пользуется интернетом, в цивилизованных странах это уже преступление!»
                                              Скоро так и будет
                                              • +43
                                                Если мне память не изменяет, в истории был период, когда было «он умеет читать и писать, это уже преступление». Как бы до такого обратно не докатились :(
                                                • +5
                                                  На костер!
                                                  • –10
                                                    Долго думал, это за девайс такой — coster. Типа bioreactor, что ли?
                                                  • +1
                                                    серые роты- вперед!
                                                    • +1
                                                      «А вы вообще историю знаете и думать умеете!»
                                                    • +11
                                                      Само слово «хакер» уже сто лет в обед как не используется для обозначения «компьютерных взломщиков» — им преимущественно называют людей, которые любят что-то разбирать и модифицировать, заставлять работать «не так как задумано» — без преступной цели. Отсюда всякие лайфхакеры и т.п.

                                                      Что же касается цивилизованных стран, я хотел бы увидеть этот кодекс в котором есть статья «бытие хакером наказывается сроком лишения свободы в столько-то лет такого-то режима». Здесь правильно заметили что в цивилизованной стране этого программиста попытались бы взять на работу, да за приличную зарплату.
                                                      • +5
                                                        Hacker (programmer subculture), who combines excellence, playfulness, cleverness and exploration in performed activities.

                                                        Wikipedia
                                                        • +4
                                                          The basic difference is this: hackers build things, crackers break them.
                                                        • +2
                                                          Само слово «хакер» уже сто лет в обед как не используется для обозначения «компьютерных взломщиков»

                                                          Скажем так — оно особо и не использовалось для такого обозначения кроме как в жёлтых СМИ, а потом постепенно получило такое значение.
                                                      • +21
                                                        В цивилизованных странах такое предприятие ещё и предложит у себя работу.
                                                        • +1
                                                          Ну или хотя бы спасибо сказали и рекомендацию дали (или даже заплатили, зависит от жадности), если им не нужен сотрудник в штат.
                                                          • +8
                                                            В Приватбанке студенты работают по $200 в месяц (может сейчас чуть больше). Про них уже легенды ходят. Так что даже, если предложат — надо бежать.
                                                            • 0
                                                              Вы не поверите, но там платят $2000-3000
                                                              • –1
                                                                Слухи? Или можете как-то доказать?
                                                                • +3
                                                                  Сам там работал да и вакансии поищите, Приват часто указывает зарплату
                                                                  • –17
                                                                    %username% ты тоже прочитал слово «слухи» немного иначе?
                                                                  • +3
                                                                    это не мешает им вносить правки «наживую» и ломать продакшн-сайт с завидной регулярностью
                                                                    • 0
                                                                      ИМХО, пусть лучше так, чем как остальные украинские банки в каменном веке застряли… У кого еще из украинских банков есть приложения для смартов?
                                                                      • 0
                                                                        Райффайзен, к примеру. Ну а то что приветбанк — «нечист на руку», убедился на личном опыте. Хотя, есть и покруче них.
                                                                        • 0
                                                                          СПДшникам райфайзен предлагает клиент для Windows Mobile. Очень современно, да
                                                                          • 0
                                                                            Про СПД не знаю, у меня счёт в Кредобанке, там веб-банкинг. Ну а если Вам «современность банка» важнее собственного достоинства — вопросов не имею.
                                                                            • +1
                                                                              Плакатик из теории большого взрыва jpg

                                                                              Последняя версия Windows Mobile (не Windows Phone!) выпущена в 2010 году. Устройства под нее массово прекратили выпускать и того раньше.
                                                                              • –1
                                                                                Спасибо, я в курсе разницы. Повторюсь: если есть выбор между банком-мошенником с мобильным клиентом, и нормальным банком но без мобильного клиента — я предпочту нормальный банк. Остальные могут идти в Приват.
                                                                              • 0
                                                                                Особенно меня прикалывает как всех клиентов привет-банка обязывают быть «мартышками с кредитками» на фотографиях… так и представляю себе внутренний ресурс привата: «Наши клиенты зверята». При попытке подобного плана фотографии, послал их нахрен. Впрочем, потом вообще их послал, хотя эти дегенераты до сих пор звонят, настаивая что у меня есть карточка, открытая в 2004 году и закрытая в 2005, а у них в системе она до сих пор не закрыта… короче, банк для клиентов «с приветом»… И плевать я хотел на их сеть банкоматов по всей стране, включая их банкинг.
                                                                                • 0
                                                                                  Мне наяривали год. Требовали денег. Я требовал письменных претензий. В конце концов сказал «а я вообще не уверен что вы — представитель банка». Следующий раз перезвонили через полгода. Предложили услуги. На требование прекратить звонки дико удивлялись. Но звонить перестали.
                                                                                  • 0
                                                                                    Не надолго… я им писал о прекращении работы с ними уже раз 50 за последние 2-3 года, как СПД закрыл, так с этим развод-банком работать и не хочу… :)

                                                                                    Вообще непонимаю клиентов банка… одним из последних нововведений у банка, оказалось введение комиссии за снятие денег в собственных же банкоматах О_о У меня паника была просто от этого дятлизма… нет, мне не жалко копеек тех которые оплачиваются… но студент снимающий 20 грн из стипухи на сигареты, к примеру, и вынужденный заплатить 1-2 грн комиссии… Что с вами не так, люди?!!!
                                                                                    • 0
                                                                                      Подайте заявление в милицию или прокуратуру. По закону они не имеют права хранить и обрабатывать личные данные клиентов, не имея на то письменного согласия клиента. Закон ввели в 2011-м. На архив не распространяется (обратной силы не имеет).
                                                                                      Кроме того, срок исковой давности по хозяйственным делам — 3 года. Т.е. если они не подали в суд спустя 3 года после «расставания» — это вымогательство.
                                                                                      • 0
                                                                                        Ой, поверьте, этот закон до заднего места. Пройденный этап уже… Проще посылать их во всех направлениях. А вообще если звонят с 092 — то это значит привет-бонк.
                                                                                        PS: я им еще и people.net простить не могу… из интересного оператора сделали г@в#о :)
                                                                                        • 0
                                                                                          Ну, у меня заткнулись после тонких намёков.

                                                                                          люди.нет — это вообще фейерично.
                                                                                          • 0
                                                                                            Без наездов… :) People.Net первый кто начал приличное что-то предоставлять по ценам. Развязало руки, и увеличило радиус действия моих поездок сначала до 50 км за город. Потом правда перешел на Интертелеком и увеличил радиус действия до водоема на котором и рыбу половить и поработать можно… :)

                                                                                            А вот когда эти пинчеры выкупили пиплонет, оно окончательно здохло.
                                                                                            • 0
                                                                                              Сдохло оно через год после покупки. Мне для поездок за город кроме них альтернативы нет, покрытие в том районе только у них и GSM. Так что ой.
                                                                                              • 0
                                                                                                А CDMA от Intertelecom не пробовали? Модем кстати перепрошить пипловый можно, если у Вас еще rev.A остался. А интер сейчас в принципе много чего покрывает, у Вас не указан регион, думал на карте глянуть: www.intertelecom.ua/ru/aboutcompany/cmap
                                                                                                До 2Мбит я имею практически везде. Разве что в Закарпатье в горах не везде ловит (в селах — есть).
                                                                                                • 0
                                                                                                  Пробовали, правда тогда это ещё был CDMA.UA. Половина села с покрытием, половина — без. Мне надо как раз там, где покрытия нет.
                                                                                                  www.intertelecom.ua/ua/aboutcompany/cmap/dn
                                                                                                  Судя по карте, ситуация не изменилась.
                                                                                                  • 0
                                                                                                    CDMA UA и Интертелеком — это вооообще разные операторы, и друг с другом никогда отношений не имели. Если половина села с покрытием, вторая без, то я лично у себя ставил усилитель (чтобы к теще достало), а потом нажаловалсфя в интер… через 4 месяца — поставили новую вышку. Они как-то подозрительно, но относительно быстро реагируют на такие запросы.

                                                                                                    Блин, все, кончаю про Интер писать, а то опять скажут что я в интертелекоме работаю :)
                                                                                                    • 0
                                                                                                      Теперь это один оператор. Как минимум — в Днепропетровске и области. Меня от них интересовала, в первую очередь, замена постоянно выходящему из строя проводному телефону, вариант с усилителем не подходил.
                                                                                                      • 0
                                                                                                        Незнал, что в Ваших краях так все печально… :( Я в Восточную Украину редко езжу… чаще на западную и по южной. Переезжайте к нам! :)
                                                                                          • 0
                                                                                            Ко мне с городских звонили. 056 — код Днепра вроде.
                                                                                            • 0
                                                                                              056 7369129 — это из моего «чёрного списка»
                                                                        • +2
                                                                          Кому? У них вакансии на сеньор разработчика 500-600$, недавно смотрел.
                                                                      • +5
                                                                        Книга есть такая- The Lure (S. Schroeder). Там отлично изложена история про двух челябинских специалистов, которых пригласили на работу в США. Контракты, помнится, вышли лет по 5-7 с бесплатным проживанием и одеждой с едой на шару.
                                                                      • +31
                                                                        А Google, Facebook, Mozilla, Microsoft, которые платят за найденные баги, несомненно, находятся в каком-нибудь Сомали, да.
                                                                        • 0
                                                                          Ну, хакеру, который запостил что-то на стену Цукерберга через уязвимость, так и не заплатили, хотя в предыдущие полгода он несколько раз писал отчёт об этой уязвимости в их службу поддержки.
                                                                          • 0
                                                                            Так собрали же вроде всем светом 12к зеленых.
                                                                            • 0
                                                                              Речь шла о том, что компании платят за найденные уязвимости.
                                                                              • +1
                                                                                Компании-то платят, но при соблюдении определенных условий, а индус собственно их нарушил.
                                                                                • 0
                                                                                  Вроде бы он палестинец был…
                                                                            • 0
                                                                              Так пусть радуется, что дело не завели
                                                                            • +2
                                                                              Программа «Bug Bounty» есть и у ПриватБанка, начиная с 2011 года.

                                                                              Называется она «Поиск IT-уязвимостей»: privatbank.ua/safeness/

                                                                              Если Вам известны «слабые места» в банковских системах, а также любых веб-ресурсах ПриватБанка, сообщите об этом нам и получите вознаграждение до 10 000 гривен в случае подтверждения и устранения уязвимости специалистами Банка.

                                                                              • +1
                                                                                А если устранить не смогут, то посадят?
                                                                            • +59
                                                                              Ну не говорить же, что мы идиоты и запустили в паблик дырявое приложение, которое позволяет кому угодно распоряжаться деньгами наших клиентов — поэтому надо срочно свалить с больной головы на здоровую!
                                                                              А к Приватбанку один вопрос: ВЫ ОХЕРЕЛИ ТАМ? Я ваш клиент уже 7 лет, и знаете, что я сейчас делаю? Я ищу другой банк!
                                                                              • +29
                                                                                А кто их вообще за язык тянул? Заплатили бы человеку, но при этом попросили подписать NDA — и дело с концом.
                                                                                А так они заяву накатали на ровном месте, и думали что огласки не будет? По сути сами же ее и создали.
                                                                                • +12
                                                                                  Там не понимают этого, они и в перспективе ничего не видят даже — следующий раз фиг кто скажет, что нашел в них баг — быстрее продаст на черном рынки (или на крайняк использует сам). В результате банк потеряет кучу денег из-за использования уязвимости и еще больше репутации в случае поднятия шуму людьми, у которых пропадут деньги.
                                                                                  • 0
                                                                                    Теряет не банк деньги, а клиенты… недавно у знакомого 150 000 грн увели с Приват-Банк24, вернуть удалось только 70 или 80к. Банку было вообще нас&ать. Даже СБ не шевелилась.
                                                                                    У этого недобанка уже давно репутации нету…
                                                                                • +1
                                                                                  Вы только сейчас начали искать другой банк? Да вы сударь терпеливый.
                                                                                • +15
                                                                                  Кстати как идентифицируют что ты хакер?
                                                                                  Это на лбу надпись светится? По моему любой разработчик может сделать анализ работу чужого софта, разве все программист хакеры?
                                                                                  • +12
                                                                                    Очень просто: если ты нашел баг в чужой системе, ты — хакер, а это преступление!
                                                                                    • +2
                                                                                      Правильно! Ибо обычные люди пользуются сервисами, а не ищут в них уязвимости.
                                                                                      • 0
                                                                                        Обычные люди, «продвинутые пользователи» тоже вполне могут случайно натолкнуться на баг, и понять его суть. В этом случае преступлением станет любопытство и желание помочь сотрудникам банка исправить их ошибку :)
                                                                                        • +2
                                                                                          Нет. Ибо это автоматически делает обычного человека «хакером». Честный человек должен закрыть глаза и пройти мимо. Да-да. Именно так оно и должно работать по мнению закона.
                                                                                          • 0
                                                                                            Мне очень жаль, что у нас не такое общество, в котором есть только честные люди. В таком обществе и банков бы не было.
                                                                                            • 0
                                                                                              Как связаны банки и (не)честность?
                                                                                              • 0
                                                                                                Это комплексный вопрос. Но в частности, в уважаемом себя обществе не будет мысли выдавать кредиты под 56% годовых.
                                                                                                • +1
                                                                                                  Если заемщик об этом уведомлен, то почему нет?
                                                                                                  • 0
                                                                                                    Он не уведомлён. Мне пришлось полчаса потратить, чтоб высчитать по всем формулам суммарную переплату. В результате я отказался от кредита.
                                                                                                  • 0
                                                                                                    Ну так ставки напрямую от рисков и сроков зависят.
                                                                                                    Обеспеченные недвижимостью ипотечные кредиты вот вполне себе недорогие.
                                                                                                    А кредит-займ на неделю без проверки платежеспособности — естественно, будет дорогой (и не 56%, а вполне и все 560% может быть), иначе кредитор превратится в благотворительную организацию )
                                                                                                    • 0
                                                                                                      И даже 730% вполне реально :)
                                                                                                      • 0
                                                                                                        Он естественно дорогой, т.к. отсутствует фактор честности и самоуважения, как было отмечено выше.
                                                                                                        С обеих сторон.
                                                                                                        Да само понятие инфляции, которым оправдывают процент на кредит, не должно существовать.
                                                                                                        • 0
                                                                                                          Да само понятие инфляции, которым оправдывают процент на кредит, не должно существовать.

                                                                                                          Как так не должно? Куда же она денется? )
                                                                                                          • 0
                                                                                                            Сбалансированная монетарная политика позволяет исключить инфляцию. Но её полное отсутствие многими специалистами считается негативным фактором для экономики. У людей меньше стимулов инвестировать и больше хранить деньги «под матрацем».
                                                                                                          • 0
                                                                                                            Процент на кредит обуславливают обычно двумя вещами:
                                                                                                            — прибылью (большей инфляции как правило) — инвестору будет неинтересно давать деньги в долг без получения прибыли
                                                                                                            — рисками — инвестор должен учитывать риск того, что кто-то кредит не вернет и понесет убытки.
                                                                                            • 0
                                                                                              «Реверс-инженеринг — нарушение EULA;-)». Дальше от этого можно плясать куда угодно…
                                                                                              • 0
                                                                                                Прошу прощения что поднял тему.
                                                                                                Но именно такая позиция у Oracle.
                                                                                                И, имхо, такого быть не должно…
                                                                                          • +9
                                                                                            Что за привычка ссылаться на практику «в цивилизованных странах», обосновывая репрессивные действия. Как в хороших начинаниях брать пример с цивилизованных стран, так нет — «у нас свой путь».
                                                                                            • 0
                                                                                              «Система ниппель: туда — дуй, оттуда — , в общем, 'не дуй'»;-) тоже в некотором смысле «двойные стандарты»…
                                                                                          • +5
                                                                                            Надо понимать, что у них система безопасности бьет тревогу даже когда переводишь деньги между своими картами в разных банках. Так что приведенный аргумент(со стороны привата) для меня сомнителен.
                                                                                            • +3
                                                                                              Самое страшное, что все логичные доводы (изменил для целей показа, никаких денег не заработал, уведомил сразу банк и пр.) нашим «самым гуманным судом в мире» не будут услышаны, ведь у истца есть связи и миллионы. У нас так людей за клевету на форумах штрафуют — написал, что «фирма Рога и Копыта не выполнила мне ремонт, гандоны долбаные», и получаешь потом штраф или исправительные работы.
                                                                                              • 0
                                                                                                Ну как аукнется так и откликнется.
                                                                                                • +2
                                                                                                  Уверен многие (в т.ч. и КПИшники) поддержат парня в случае, если дело пойдет дальше обычных обсуждений в СМИ
                                                                                                • +16
                                                                                                  ПриватБанк те еще неадекваты. Стоит только поискать:
                                                                                                  habrahabr.ru/post/78599/
                                                                                                  habrahabr.ru/post/93643/
                                                                                                  habrahabr.ru/post/138429/
                                                                                                  habrahabr.ru/post/104233/
                                                                                                  habrahabr.ru/post/111853/

                                                                                                  Кстати, вчера по всей Украине лежала куча их POST-терминалов, Приват24 не работал, мерчанты постоянно выдавали ошибки (у нас штук 50 платежей не ушло из-за бредовых ошибок вроде «Невозможно оплатить с мерчанта 0» и ошибок SSL).
                                                                                                  • 0
                                                                                                    Может они как Apple сейчас начнут перелопачивать всю систему безопасности и закроются на 2-3 недели. :)
                                                                                                    • +2
                                                                                                      действительно ПРИВАТ
                                                                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                        • –3
                                                                                                          Тогда уж «ПреведБанк» :D
                                                                                                      • –3
                                                                                                        Не ошибается тот, кто ничего не делает. У остальных украинских банков android-приложений вообще нет, и с клиент-банками все грустно
                                                                                                        • –1
                                                                                                          Неправда. ИМХО фигачить под все и вся приложение не есть правильная тактика. Достаточно одного качественного веб-интерфейса для ЛЮБОГО устройства.
                                                                                                          Клиент-банки есть у многих банков в Украине.
                                                                                                          У приват-банка он, имхо, самый сложный и запутанный.
                                                                                                          • +1
                                                                                                            Он может и сложный (хотя как по мне — не сложнее OTP'шного), но зато гораздо функциональней.
                                                                                                            Например я узнавал у того-же OTP — их интернет-банк не позволяет проводить обмен валют, а для меня это нужная операция, хотя может их сотрудница неправильно выразилась. Не говоря уже об интерфейсе для пополнения телефона, покупки билетов, пополнения своего счета через любую карту и прочего функционала.
                                                                                                            • +1
                                                                                                              А кроме ОТР других банков нет, у меня не Приват уже много лет как отказался работать с этим дерьмобанком, есть карты нескольких других банков и там очень даже вменяемый клиент-банк, включая любые платежи, покупки и т.п. Рекламировать не буду, если нужно найдете функциональный клиент-банк за пол часа просто позвонив в службу поддержки разных банков.
                                                                                                              • 0
                                                                                                                Да есть другие банки, это те два — которыми я пользуюсь лично. Остальные знаю только по рассказам. Но это не только мое мнение, что ПБ по количеству услуг в онлайн-банке (к сожелению, не по качеству) заметно опережает другие банки.
                                                                                                                • 0
                                                                                                                  Рекламировать не буду

                                                                                                                  Рекламировать не надо. Просто оставьте ссылку.
                                                                                                                  • 0
                                                                                                                    Лично мне нравится клиент Альфа Банк (Украина), как веб так и мобильное приложение. Из фишек, которых нет больше почти ни у кого — блокировка/разблокировка проверки cvv, что позволяет не напрягаться и платить со своей карты в любой точке мира онлайн, не думая, что тебя подцепят на регулярные платежу. Из негатива, по слухам, отвратительное обслуживание кредитуемых клиентов, но я кредиты не беру так что сервис устраивает.
                                                                                                                  • +3
                                                                                                                    Приходится работать с ПБ только потому, что у каждого клиента есть карта ПБ. Хоть об этом банке и известно много гадостей, нас это ниразу не коснулось.
                                                                                                                    Несмотря на всю косность службы безопасности (а именно они, судя по всему, и начали создавать видимость бурной деятельности, как это было в своё время с детектором лжи), их IT-подразделение, хочу заметить, занимается экспериментальными и передовыми (как минимум, для Украины) разработками в сфере интернет-банкинга. Это в ПБ я впервые получил возможность работать со своими счетами в терминалах и банкоматах даже без карты в кармане. Это у них есть мобильный платёжный терминал (первый и, пока, единственный в Украине). Это на тематической встрече, организованной ими, я смог увидеть одни из первых Google Glass в Украине. И, кстати, они экспериментируют с Приват24 для Google Glass.
                                                                                                                    Имея карты и счета в других банках, более удобного веб-сервиса я не знаю.
                                                                                                                    • +4
                                                                                                                      Почему я отказался от работы с приватом, было 3 прецедента:
                                                                                                                      1) Находясь не в своем городе, банкомат сожрал карту, нужны были срочно деньги, в наличии был паспорт и загран-паспорт, в отделении мне отказали в выдаче денег с моего счета, т.к. внимание, у меня нет карты, перевыпуск карты занял почти месяц.
                                                                                                                      2) После попытки нелегально списать деньги с моей карты, попытался закрыть свой счет, но не смог получить деньги оставшиеся там сразу, процедура заняла 2 недели со звонками в главное отделение.
                                                                                                                      3) Через 3 года после того как перестал пользоваться их услугами (все счета закрыл, со скандалом по пункту 2) мне начали названивать представители банка и в ультимативной форме требовать погасить задолженность, так как якобы у меня остались не закрытые счета (какая-то хрень типа подарочной карты, которая выпускается без ведома клиента) и тададам они мне насчитали комиссию за ее обслуживание, естественно были посланы в жопу суд, но звонки не прекратились, хорошо у них был старый номер, который не жалко было выбросить (на заметку тем кто открывает у них счета, в информации указывать отдельный номер).

                                                                                                                      В дополнение на товарища они оформили кредит, который он не открывал, доказывал через суд, банк не смог предоставить копию договора с его подписью, та копия что была, была подписана не им, соответственно экспертиза подписи и испорченные нервы на пол года. Про их говносервис liqpay, который теряет платежи через раз еще можно рассказать. Хуже сервиса нет ни у одного банка, в плотную к ним стремится Аваль, но пока даже близко не догоняет, зато банкоматы по всему городу — это да, хотя нафига они нужны если карты принимают в любом магазине, не ясно. В кошельке обычно гривен 200 мелкими купюрами, на проезды, и всякие мелочи, остальное на картах ибо удобней.
                                                                                                                    • 0
                                                                                                                      А личным сообщением прорекламировать тоже никак?
                                                                                                                    • 0
                                                                                                                      После того как я увидел их UI для клиентов у меня напрочь отпало желание иметь с ними дело, поскольку такой же хаос наверняка вторится и во всем остальном. Ну а о секьюрности, думаю, можно не говорить, посольку судя по UI/UX денег в back-office вложили маловато.

                                                                                                                      Из всех перечисленных операций в моембанке нет только обмена валют (не особо и надо).
                                                                                                                      Остальное все можно сделать на специальных сайтах (билеты, телефон etc).
                                                                                                                    • 0
                                                                                                                      субъективно: пользовался ПБ, дельта и пумб.
                                                                                                                      В последнем у меня их клиент-банк под линуксом не запустился, саппорт заявил, что они не поддерживают ничего, кроме виндовс (при том, что это java-апплет и, по хорошему, должен одинаково работать во всех ОС). После переписки с саппортом выяснили ошибку и протестили на их дев. сервере, еще через месяц они залили обновление на прод. В это время я уже не был их клиентом.
                                                                                                                      Клиент-банк от дельты запустился без проблем, но, по сравению с тем же приват24, он куда более сложный и непонятный
                                                                                                                      • –2
                                                                                                                        Балованый вы клиент однако. Сталкивался с похожей проблемой в разных банках — версия java vm или браузера.
                                                                                                                        Ничего страшного в этом не вижу.
                                                                                                                      • –1
                                                                                                                        Я вот как раз недавно интересовался, даже здесь в Q&A вопрос оставил. Подскажите, у кого в Украине есть работающий веб-интерфейс для СПД? Все остальные в лучшем случае используют страшненький джавовский iFOBS, в худшем случае (аваль) вообще какое-то глючное говно, написанное студентами за еду.
                                                                                                                        • –1
                                                                                                                          У всех есть, не поверите.
                                                                                                                          И у всех работающие.
                                                                                                                    • +1
                                                                                                                      ну POS же… айтишный ресурс, блин :)