Пользователь
10 сентября 2013 в 13:34

Разработка → ПриватБанк обвинил украинского программиста во взломе своего Android-приложения

КПИшник Алексей Мохов, бывший сотрудник украинского Samsung и Viewdle, нашел уязвимость в Android-приложении «Приват24». ПриватБанк ответил неожиданно, обвинив программиста в попытке украсть средства со счетов клиентов банка.
image


Как сообщается на украинском портале студгазеты КПИ

Со слов Алексея:

Сейчас я занимаюсь софтом для служб такси в Киеве (как-то так вышло, что занесло в эту степь, раньше работал в Samsung & Viewdle). Так вот. Стояла задача периодически проверять баланс банковских карт ПриватБанка ну и если надо — переводить средства на другую карту. Почему ПриватБанка? Потому что у них одна из самых больших сетей ТСО (терминалов самообслуживания). Схема такова — таксист подходит к ТСО, приложение для пополнения счета в такси запрашивает номер карты, система выдает ему карту и ожидает поступления средств. Как только средства упали на карту — зачисляет средства в системе такси.

В ходе исследования протокола связи с банком я заметил пару ошибок в системе безопасности. Начал глубже копаться в них. Оказалось, что банк позволял еще и переводить средства с карты на карту хоть в другой банк, хоть в другую страну (через Visa/Mastercard). Это помимо доступа к конфиденциальным данным человека (баланс, счета, кредиты, депозиты в банке).

После проведения экспертизы я написал об этом в твиттер, связавшись с аккаунтом ПриватБанка. Помимо этого написал сотруднику ПриватБанка в Днепропетровск, чтобы на меня быстрее вышла Служба безопасности банка.

В тот же день вечером ПриватБанк из штабквартиры в Днепре написал служебку в Киевское отделение Привата на Печерске, написали само собой в отдел СБ. Со мной созвонился представитель Привата В. Максименко и предложил встретиться, показать и рассказать что там да как. Произвел впечатление опытного специалиста, никто не давил на меня (вроде даже и не думали).

Ну я приехал, показал и рассказал, как программисты Привата допустили дыру в безопасности. Показал, как можно подставить в принципе любого человека, даже председателя правления Привата. Еще я подменил официальное приложение банка (добавил в него свой код) и показал, что можно сделать с ним. Почти нереально отличить официальное от модифицированного. Они в шоке были, отдел из 8-10 человек в комнате, — все работают и в пол-уха слушают мой монолог про все эти дела.


«Нужно понимать, что он хакер. В цивилизованных странах это уже преступление. Изъян в системе, который он нашел, не является страшным, не особенно угрожает клиентам банка. Как только Мохов попытался перевести чужие деньги, наша система безопасности забила тревогу. Его бы обязательно нашли», – говорит начальник пресс-службы «ПриватБанка» Олег Серьга.

В результате ПриватБанк начал расследование попытки взлома своей системы безопасности программистом Алексеем Моховым, который ранее работал в компании Samsung и проекте Viewdle. В ближайшие две недели руководство банка решит, возбуждать ли дело по этому факту.
Митько Дмитрий @Diam0n
карма
10,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (262)

  • +68
    Материальный ущерб никому не нанесен ведь. За что возбуждать дело?
    • +30
      >В цивилизованных странах это уже преступление.

      • +8
        Так то ж в цивилизованных )
      • +27
        В цивилизованных странах банк бы ещё вознаграждение хакеру дал, а сам факт наличия уязвимости (пусть уже устранённой) не придавал бы огласке, ибо портит имидж.
      • +6
        мыслепреступление
    • +17
      Та привет-банк еще то УГ.
      Постоянно деньги куда-то деваются. Бывает даже такое что оплата не до конца проходит, деньги списаны а услуга не оплачена, видимо там о транзакциях никто не слышал…
      И по-поводу «Его бы обязательно нашли» знаю сотни живых случаев когда у людей деньги пропадают и все…
      • +3
        Кстати был случай у закомого, на чеке написало мелким шрифтом «транзакция будет проведена в течении трех суток». Трое суток! Я в шоке, как быстро деньги ходят в системе… наверное укрпочтой везут…
        • +2
          Трое суток. Хех. Деньги со статусом «собственные средства» (входящий перевод на карту) получали статус «доступно» (то есть чтобы я мог расплатиться картой или снять кэш с неё) больше десяти суток. И то, похоже, триггером послужил мой вход в онлайн-банкинг.
          • +1
            Более 10 суток? Ого, вот это они гонят…
            • 0
              Регламент.
    • +8
      Возможно нахватаю сейчас минусов, но…

      Например, по украинскому аналогу 272?

      Я попытался несколько раз сделать перевод средств при помощи получения 4 последних цифр карты. У меня это получилось. Чтобы никого не подставлять, сделал перевод на свою карту. После успешного перевода написал в твиттер банка. Потом сотруднику банка.

      То есть то, что назвали «мошенническими транзакциями», — это были твои тестовые попытки перевести деньги с одной карточки на другую?

      Чтобы доказать, что уязвимость есть, нужно убедиться в работоспособности методов. Для этого случайным образом из базы данных ПриватБанка был выбран человек (фамилия у него как то на «У» начинается, не помню уже). Ну я доказал и пошел все показывать.


      Т.е. не получая никакого разрешения от привата, он с чьего-то счета перевел себе на карточку сумму. Да, деньги он вернул, но фактически это взлом. Да и как по мне, публично через твиттер ставить в известность приват о том, что у них имеются дыры в безопасности, как-то дико.
      • +10
        Больше всего меня удивило, что снял деньги он не у своего знакомого по договоренности, а у левого человека.
        Вот это было глупо.
        Но я ни в коем случае не хочу оправдывать Приват — еще те засранцы.
        • 0
          Вероятно он сам был в шоке что деньги взялись. Думаю если бы он больше склонялся к тому что это сработает то не переводил бы деньги с чужого счета.
      • НЛО прилетело и опубликовало эту надпись здесь
    • +3
      Как говорил мой комбат: Можно и к столбу дое… ся, почему он без фуражки
  • +100
    Чем признаться и страдать — лучше с$%*дить и молчать!)
    • +4
      Он поступил правильно. Может быть это покажется парадоксом, но от честных поступков прибыли бывает больше. Теперь этот программист знаменит, и его с радостью возьмут в СБ многих компаний. И что самое главное — он зарекомендовал себя очень честным и порядочным человеком.
      • +8
        его с радостью возьмут в СБ многих компаний

        Главное что бы не после нескольких лет колонии.
      • +2
        Не согласен с тем, что возьмут в СБ многих компаний, т.к. СБ — это не программисты, а чекисты они действуют по факту, а все остальное это проблемы админов.
        • +1
          Есть те, кто действуют по фактам, есть те кто разрабатывает софт для обнаружения фактов.
        • 0
          Надо им писать масово сообщения о том что известно о новой такой же уязвимости в их программном продукте — «только мы теперь об этом вам не скажем». Кому то другому.
      • +1
        В случае, когда, например, у вас щипачи вытащат бумажник и отдадут администрации рынка, мол, видите, тут можно любого обокрасть, как вы отнесетесь к пропаже бумажника, осознанию факта, что это было воровство ради тестирования безопасности рынка? И, самое главное, как должна поступить администрация рынка по отношению к человеку, вытащившему бумажник? С моей точки зрения тут все просто: за благими намерениями кроется фактическое воровство (с точки зрения закона, а не справедливости). Да и с точки зрения справедливости тоже не все хорошо: используя такую же логику, мы скоро сможем увидеть всяких скрипт-киддиз разгуливающих по вашим квартире/дому с заявлениями «Я просто тестирую ваш дом на предмет уязвимостей».
        • +3
          Вашу аналогию следует подкорректировать:
          — Устройства для ношения бумажников выдает администрация рынка.
          — Бумажники на территории рынка носить разрешается исключительно в этих выданных администрацией устройствах. Иначе покупатель на рынок вообще не будет допущен.
          — Деньгами из устройства клиент расплачивается не напрямую, а через сотрудников рынка. Сотрудники рынка, как оказалось, подслеповаты и спокойно могут расплатиться с чужого устройства — любого, на которое покажет вор.

          Вот теперь аналогия ближе к рассматриваемой ситуации.
          И теперь вина администрации рынка просматривается гораздо выше, чем вина человека, который продемонстрировал дырявость нанятых ею сотрудников. Поэтому ее желание сделать козлом отпущения хакера, а не себя, любимую, вызывает отвращение.
          Что касается хакера, то его вина в том, что он проверял уязвимость не на своих, а на чужих счетах. Завел бы себе 2 карты и перечислял бы с одной на другую. Согласно вашей 2-ой аналогии: ходил бы по СВОЕМУ, а не чужому дому и проверял бы его на предмет уязвимостей.
          • 0
            его вина в том, что он проверял уязвимость не на своих

            Хакер не «проверял уязвимость», а перечислил чужие деньги на свой банковский счет. Если мы позволим оправдывать обращение чужого имушества в свою пользу словами(!), мол, я тестировал уязвимость, то мы получим десятки тысяч ненаказанных уголовников в первый же день.

            Я пытаюсь донести простую мысль: чужое брать нельзя. И наш «хакер» с точки зрения закона — вор вне завимости от участия банка в этой истории.

            К банку тоже есть вопросы, но это другая история. Нужно подымать законодательство соседей, жаловаться регулятору и пр.
            • 0
              Хакер не «проверял уязвимость», а перечислил чужие деньги на свой банковский счет.

              Проверка уязвимости — это попытка выполнить неразрешенную операцию. В случае с банком — это попытка провести неразрешенную транзакцию. Только успешное проведение неразрешенной транзакции позволяет заявлять о наличии уязвимости. Всё остальное — бла-бла-бла, ничем неподкрепленное.
              Если несогласны — попробуйте предложить свой вариант проверки уязвимостей произвольных переводов.

              Если мы позволим оправдывать обращение чужого имушества в свою пользу словами(!), мол, я тестировал уязвимость, то мы получим десятки тысяч ненаказанных уголовников в первый же день.

              Вы меня не поняли. Прочитайте внимательнее — я нигде не оправдывал обращение чужого имущества в свою пользу. Наоборот, я считаю хакера виноватым: он для своего эксперимента использовал ЧУЖИЕ, а не свои деньги. А если бы использовал свои, то ваша претензия «обращение чужого имущества в свою пользу» превратилась бы в «обращение своего имущества в свою пользу», т.е. потеряла бы смысл. Согласны?
              • 0
                Да, похоже неправильно вас понял, но

                он для своего эксперимента использовал ЧУЖИЕ, а не свои деньги

                Даже если бы это были его деньги (переводимые с собственного счета на собственный же счет), это опять же — неправомерный доступ к комьютерной информации, просто без причинения ущерба третьим лицам.

                По поводу «проверок уязвимостей». Уголовная статься, так или иначе покрывающая множество «операций, совершаемых для получения несанкционированного доступа к тому-то и тому-то» есть, думаю, во всех странах. Соостветственно, даже в поисках уязвимостей всегда есть уголовный подтекст. Никто не будет учитывать «благие намерения» в «поиске уязвимостей»: получил неправомерный доступ — получи срок. Таким образом, программа банка по поиску уязвимостей является (частично) подстрекательством к преступлению.

                Мой вариант проверки уязвимостей (на примере банка): делается sandbox-environment с тестовыми счетами и пр. В андроид-приложении устанавливается developer mode. На сайте банка выдается автоматическое разрешение, инструкция к использованию и документ на обеспечение условий для тестирования ИмяФамилия, логины-пароли, сертификаты и остальное, все, что необходимо.
                • +1
                  Я слабо представляю себе ситуацию, когда банк будет создавать sandbox-environment с тестовыми счетами каждому встречному-поперечному.
                  Представьте, что вы — IT-специалист банка. И приходит к вам начинающий недохакер и заявляет:
                  — У вас в протоколе обмена я обнаружил некое поле. Если его неправильно заполнить, то платеж станет неверным. Дайте мне возможность поэкспериментировать с его заполнением.
                  Ну не смешно ли? Во-первых, с чего он решил, что на стороне банка нет проверок этого поля? Может, там их штук 100, просто он о них еще не знает. Во-вторых, будете ли вы всем подряд, кто впервые ознакомился с протоколом обмена, выделять программные и аппаратные ресурсы для проверки их дилетантских догадок и давать упражняться во взломе своей банковской системы?

                  Мне кажется, это из области фантастики — ни один банк на такое не пойдет. Другое дело, когда речь идет о специализированной компании, профессионально занимающейся тестированием информационной безопасности.

                  Что касается уголовного подтекста поиска уязвимостей — это отдельный разговор.
                  С одной стороны, вседозволенность недопустима. А с другой стороны, если любой поиск считать уголовщиной, то это будет способствовать наплевательству на безопасность со стороны разработчиков (что, собственно, и произошло в обсуждаемом случае), а, значит, тоже недопустимо (см. законы Мерфи про дятла, способного разрушить всю цивилизацию).
                  • 0
                    Другое дело, когда речь идет о специализированной компании, профессионально занимающейся тестированием информационной безопасности

                    Я понимаю про компанию, но у нас есть специализированная кампания (крутить вниз). Еще раз повторюсь — у нас (и у соседей) невозможно искать уязвимости без попадания на «неправомерный доступ к компьютерной информации», кроме как, например, с использованием способа, который я предложил выше.

                    Я слабо представляю себе ситуацию, когда банк будет создавать sandbox-environment с тестовыми счетами каждому встречному-поперечному

                    Не надо каждому — сделать один на всех sandbox-environment и вперед, пусть ищут за денежку. И волки сыты и овцы целы и имидж где надо.
                    • +1
                      Не надо каждому — сделать один на всех sandbox-environment и вперед, пусть ищут за денежку.

                      Если вам не нравится слово «создавать», то я могу его заменить на «предоставлять»:
                      Я слабо представляю себе ситуацию, когда банк будет предоставлять sandbox-environment с тестовыми счетами каждому встречному-поперечному. Даже если sandbox — один на всех.

                      Обратите внимание: тот же ПриватБанк, на страничку которого вы привели ссылку, желает получать исключительно ГОТОВУЮ информацию, а не создавать условия для ее получения — предоставлять sandbox, документацию, тестовые логины/пароли и т.п. Оно и понятно: чем меньше людей знает, как всё устроено и работает, тем спокойнее банку спать. Поэтому я и не верю, что банки будут заниматься этим.
                • +1
                  получил неправомерный доступ — получи срок. Таким образом, программа банка по поиску уязвимостей является (частично) подстрекательством к преступлению.

                  А разве подобные программы не являются санкцией на доступ в обход средств защиты?
                  • 0
                    не являются санкцией на доступ в обход средств защиты

                    Зная любовь к бумажкам всего постсоветского пространства, думаю, что нет. Потому что, например, первое, что попросят правоохранительные органы — «разрешение на доступ в обход средств защиты», заверенное банком с печатями и подписями. И не дай бог там не будет указаны даты, временные промежутки, ответственные лица и т.д. и т.п.

                    Более того, банк в любой момент может убрать свою кампанию (сроки кампании на сайте не указаны) и сказать, что «нас вообще взломали и мы такую кампанию не проводили».

                    Если в двух словах — лучше не связываться. Я думаю, что идеальным является только такой вариант: а) находим уязвимости б) сообщаем банку любыми доступными средствами, не ограничиваясь только одним в) ждем 1 месяц, после чего выкладываем информацию на общедоступных блогах и публикуем соответствующий материал на Хабре в соответствующих разделах. Все это на условиях анонимности.

                    Все остальное — чревато. Особенно, если в свою пользу обращать чужие средства.
                    • +1
                      Я думаю, что идеальным является только такой вариант...

                      Если у вас нет на руках упомянутого вами договора с банком с печатью и подписями, то этот вариант тоже неидеален и чреват. А если есть, то фраза «все это на условиях анонимности» получается неуместной.
  • +107
    В СНГ одни не благодарные твари! Людям добро делаешь причём часто безвозмездно! А они! Сразу в суд. Ублюдки. У меня больше слов нет… Сам с такой реакцией сталкивался, и даже более на меня пытались дело завести…
    • +22
      Меньше читайте советских газет
      Вот оригинал истории от главного действующего лица kpishnik.kpi.ua/archives/1114

      Все тихо, чинно, и разобрались что к чему. Даже на работу позвали.
      • +7
        Внимательнее читайте газеты: они сначала типа пригласили и разобрались, а потом подали в суд.
        • 0
          А можно уточнить, где именно писали, что уже подали в суд? В текущей статье упоминается только то, что рассматривают возможность возбуждения дела, но, это не значит, что уже что-то начали делать.
          • 0
            Вот посмотрите документики по другому аналогичному случаю.
            • +1
              Вы же сказали, что они подали на парня в суд, а в качестве факта почему-то отсылаете в 2010 год.
              • +3
                Я читал, что они подали заявление, но сканов документов не видел, поэтому ссылку дать не могу (да и не уверен, что читал в авторитетном источнике), а ссылка на аналогичный случай, просто как доказательство такой возможности и наличия прецедентов.
                • 0
                  Не Иванов, а Рабинович. Не в рулетку, а в дурака. Не 10 тысяч, а 100 рублей. И не выиграл, а проиграл
      • 0
        Что-то уже не доступно ((
      • 0
        Интересные там комментарии. Одна «специалистка» даже рассказала нам об этой уязвимости (правда, надо ещё знать номер карты и CVV2-код), которая, по сути дела, является мануалом по «Оплате через интернет».
    • +5
      Не совсем правомерное обобщение. Просто Приват это банк с репутацией. Была бы у меня такая репутация, я бы, наверное, застрелился.
      • 0
        Да не только приват банк. Одна из 30 контор в СНГ поступит нормально остальные начнут или угрожать или просто скажут всё нормально так и должно быть.
        • 0
          Не, все-таки у приветбанка особая репутация. Так сказать, на голову выше )
      • 0
        Всегда удивляло, у ПБ странная репутация, но как-то мало влияет на жизнеспособность. Такое ощущение, что не репутация определяет успешность (смайлик) этого банка.
        • 0
          В украинском Forbes была замечательная статья о них. Чудесный банк, чудесный хозяин и вообще там Кафка с Кэроллом нервно курят в уголке.
          Особые условия НБУ, более половины займов — афиллированым организациям (что наводит на мысль о фиктивных активах), рабовладельческое отношения к сотрудникам банка — это только малая доля того, что можно сказать о нем.
    • +11
      Чела видать по молодости жизнь не била, не усвоил он истину что добрые дела наказуемы. Не только в СНГ, это везде так.
      Всем ресерчерам следует уяснить: нашел уязвимость, юзай по-тихому, извлекай выгоду, если посадят то хоть не зазря. А если так уж хочется сообщить об уязвимости, то сообщать надо анонимно и не авторам софта, а всему миру, публикуя сразу рабочий эксплоит в открытых источниках. Только так можно получить положительный исход и не получить по морде.
      • +3
        Как бы жестоко всё это не звучало и не выглядело, но я согласен с вами полностью.
    • +3
      На улице гуляет папа с маленькой дочкой. Дочка заметила двух собачек в процессе любви:
      — Папа, что собачки делают?

      Папа (после паузы, вызванной мыслями как выйти из ситуации):
      — Доча, собачка повредила себе лапку и другая собачка тащит ее на себе в больницу.

      Дочка:
      — Папа, почему этот мир так несправедлив: ты пытаешься помочь кому-то, а тебя еще и трахают за это?!
  • +96
    «Нужно понимать, что он хакер. В цивилизованных странах это уже преступление.»
    Какая чушь.
    • +68
      «Он умеет пользуется интернетом, в цивилизованных странах это уже преступление!»
      Скоро так и будет
      • +43
        Если мне память не изменяет, в истории был период, когда было «он умеет читать и писать, это уже преступление». Как бы до такого обратно не докатились :(
        • +5
          На костер!
          • –10
            Долго думал, это за девайс такой — coster. Типа bioreactor, что ли?
        • +1
          серые роты- вперед!
        • +1
          «А вы вообще историю знаете и думать умеете!»
      • +11
        Само слово «хакер» уже сто лет в обед как не используется для обозначения «компьютерных взломщиков» — им преимущественно называют людей, которые любят что-то разбирать и модифицировать, заставлять работать «не так как задумано» — без преступной цели. Отсюда всякие лайфхакеры и т.п.

        Что же касается цивилизованных стран, я хотел бы увидеть этот кодекс в котором есть статья «бытие хакером наказывается сроком лишения свободы в столько-то лет такого-то режима». Здесь правильно заметили что в цивилизованной стране этого программиста попытались бы взять на работу, да за приличную зарплату.
        • +5
          Hacker (programmer subculture), who combines excellence, playfulness, cleverness and exploration in performed activities.

          Wikipedia
          • +4
            The basic difference is this: hackers build things, crackers break them.
        • +2
          Само слово «хакер» уже сто лет в обед как не используется для обозначения «компьютерных взломщиков»

          Скажем так — оно особо и не использовалось для такого обозначения кроме как в жёлтых СМИ, а потом постепенно получило такое значение.
    • +21
      В цивилизованных странах такое предприятие ещё и предложит у себя работу.
      • +1
        Ну или хотя бы спасибо сказали и рекомендацию дали (или даже заплатили, зависит от жадности), если им не нужен сотрудник в штат.
      • +8
        В Приватбанке студенты работают по $200 в месяц (может сейчас чуть больше). Про них уже легенды ходят. Так что даже, если предложат — надо бежать.
        • 0
          Вы не поверите, но там платят $2000-3000
          • –1
            Слухи? Или можете как-то доказать?
            • +3
              Сам там работал да и вакансии поищите, Приват часто указывает зарплату
            • –17
              %username% ты тоже прочитал слово «слухи» немного иначе?
          • +3
            это не мешает им вносить правки «наживую» и ломать продакшн-сайт с завидной регулярностью
            • 0
              ИМХО, пусть лучше так, чем как остальные украинские банки в каменном веке застряли… У кого еще из украинских банков есть приложения для смартов?
              • 0
                Райффайзен, к примеру. Ну а то что приветбанк — «нечист на руку», убедился на личном опыте. Хотя, есть и покруче них.
                • 0
                  СПДшникам райфайзен предлагает клиент для Windows Mobile. Очень современно, да
                  • 0
                    Про СПД не знаю, у меня счёт в Кредобанке, там веб-банкинг. Ну а если Вам «современность банка» важнее собственного достоинства — вопросов не имею.
                    • +1
                      Плакатик из теории большого взрыва jpg

                      Последняя версия Windows Mobile (не Windows Phone!) выпущена в 2010 году. Устройства под нее массово прекратили выпускать и того раньше.
                      • –1
                        Спасибо, я в курсе разницы. Повторюсь: если есть выбор между банком-мошенником с мобильным клиентом, и нормальным банком но без мобильного клиента — я предпочту нормальный банк. Остальные могут идти в Приват.
                    • 0
                      Особенно меня прикалывает как всех клиентов привет-банка обязывают быть «мартышками с кредитками» на фотографиях… так и представляю себе внутренний ресурс привата: «Наши клиенты зверята». При попытке подобного плана фотографии, послал их нахрен. Впрочем, потом вообще их послал, хотя эти дегенераты до сих пор звонят, настаивая что у меня есть карточка, открытая в 2004 году и закрытая в 2005, а у них в системе она до сих пор не закрыта… короче, банк для клиентов «с приветом»… И плевать я хотел на их сеть банкоматов по всей стране, включая их банкинг.
                      • 0
                        Мне наяривали год. Требовали денег. Я требовал письменных претензий. В конце концов сказал «а я вообще не уверен что вы — представитель банка». Следующий раз перезвонили через полгода. Предложили услуги. На требование прекратить звонки дико удивлялись. Но звонить перестали.
                        • 0
                          Не надолго… я им писал о прекращении работы с ними уже раз 50 за последние 2-3 года, как СПД закрыл, так с этим развод-банком работать и не хочу… :)

                          Вообще непонимаю клиентов банка… одним из последних нововведений у банка, оказалось введение комиссии за снятие денег в собственных же банкоматах О_о У меня паника была просто от этого дятлизма… нет, мне не жалко копеек тех которые оплачиваются… но студент снимающий 20 грн из стипухи на сигареты, к примеру, и вынужденный заплатить 1-2 грн комиссии… Что с вами не так, люди?!!!
                          • 0
                            Подайте заявление в милицию или прокуратуру. По закону они не имеют права хранить и обрабатывать личные данные клиентов, не имея на то письменного согласия клиента. Закон ввели в 2011-м. На архив не распространяется (обратной силы не имеет).
                            Кроме того, срок исковой давности по хозяйственным делам — 3 года. Т.е. если они не подали в суд спустя 3 года после «расставания» — это вымогательство.
                            • 0
                              Ой, поверьте, этот закон до заднего места. Пройденный этап уже… Проще посылать их во всех направлениях. А вообще если звонят с 092 — то это значит привет-бонк.
                              PS: я им еще и people.net простить не могу… из интересного оператора сделали г@в#о :)
                              • 0
                                Ну, у меня заткнулись после тонких намёков.

                                люди.нет — это вообще фейерично.
                                • 0
                                  Без наездов… :) People.Net первый кто начал приличное что-то предоставлять по ценам. Развязало руки, и увеличило радиус действия моих поездок сначала до 50 км за город. Потом правда перешел на Интертелеком и увеличил радиус действия до водоема на котором и рыбу половить и поработать можно… :)

                                  А вот когда эти пинчеры выкупили пиплонет, оно окончательно здохло.
                                  • 0
                                    Сдохло оно через год после покупки. Мне для поездок за город кроме них альтернативы нет, покрытие в том районе только у них и GSM. Так что ой.
                                    • 0
                                      А CDMA от Intertelecom не пробовали? Модем кстати перепрошить пипловый можно, если у Вас еще rev.A остался. А интер сейчас в принципе много чего покрывает, у Вас не указан регион, думал на карте глянуть: www.intertelecom.ua/ru/aboutcompany/cmap
                                      До 2Мбит я имею практически везде. Разве что в Закарпатье в горах не везде ловит (в селах — есть).
                                      • 0
                                        Пробовали, правда тогда это ещё был CDMA.UA. Половина села с покрытием, половина — без. Мне надо как раз там, где покрытия нет.
                                        www.intertelecom.ua/ua/aboutcompany/cmap/dn
                                        Судя по карте, ситуация не изменилась.
                                        • 0
                                          CDMA UA и Интертелеком — это вооообще разные операторы, и друг с другом никогда отношений не имели. Если половина села с покрытием, вторая без, то я лично у себя ставил усилитель (чтобы к теще достало), а потом нажаловалсфя в интер… через 4 месяца — поставили новую вышку. Они как-то подозрительно, но относительно быстро реагируют на такие запросы.

                                          Блин, все, кончаю про Интер писать, а то опять скажут что я в интертелекоме работаю :)
                                          • 0
                                            Теперь это один оператор. Как минимум — в Днепропетровске и области. Меня от них интересовала, в первую очередь, замена постоянно выходящему из строя проводному телефону, вариант с усилителем не подходил.
                                            • 0
                                              Незнал, что в Ваших краях так все печально… :( Я в Восточную Украину редко езжу… чаще на западную и по южной. Переезжайте к нам! :)
                              • 0
                                Ко мне с городских звонили. 056 — код Днепра вроде.
                                • 0
                                  056 7369129 — это из моего «чёрного списка»
          • +2
            Кому? У них вакансии на сеньор разработчика 500-600$, недавно смотрел.
      • +5
        Книга есть такая- The Lure (S. Schroeder). Там отлично изложена история про двух челябинских специалистов, которых пригласили на работу в США. Контракты, помнится, вышли лет по 5-7 с бесплатным проживанием и одеждой с едой на шару.
    • +31
      А Google, Facebook, Mozilla, Microsoft, которые платят за найденные баги, несомненно, находятся в каком-нибудь Сомали, да.
      • 0
        Ну, хакеру, который запостил что-то на стену Цукерберга через уязвимость, так и не заплатили, хотя в предыдущие полгода он несколько раз писал отчёт об этой уязвимости в их службу поддержки.
        • 0
          Так собрали же вроде всем светом 12к зеленых.
          • 0
            Речь шла о том, что компании платят за найденные уязвимости.
            • +1
              Компании-то платят, но при соблюдении определенных условий, а индус собственно их нарушил.
              • 0
                Вроде бы он палестинец был…
        • 0
          Так пусть радуется, что дело не завели
      • +2
        Программа «Bug Bounty» есть и у ПриватБанка, начиная с 2011 года.

        Называется она «Поиск IT-уязвимостей»: privatbank.ua/safeness/

        Если Вам известны «слабые места» в банковских системах, а также любых веб-ресурсах ПриватБанка, сообщите об этом нам и получите вознаграждение до 10 000 гривен в случае подтверждения и устранения уязвимости специалистами Банка.

        • +1
          А если устранить не смогут, то посадят?
    • +59
      Ну не говорить же, что мы идиоты и запустили в паблик дырявое приложение, которое позволяет кому угодно распоряжаться деньгами наших клиентов — поэтому надо срочно свалить с больной головы на здоровую!
      А к Приватбанку один вопрос: ВЫ ОХЕРЕЛИ ТАМ? Я ваш клиент уже 7 лет, и знаете, что я сейчас делаю? Я ищу другой банк!
      • +29
        А кто их вообще за язык тянул? Заплатили бы человеку, но при этом попросили подписать NDA — и дело с концом.
        А так они заяву накатали на ровном месте, и думали что огласки не будет? По сути сами же ее и создали.
        • +12
          Там не понимают этого, они и в перспективе ничего не видят даже — следующий раз фиг кто скажет, что нашел в них баг — быстрее продаст на черном рынки (или на крайняк использует сам). В результате банк потеряет кучу денег из-за использования уязвимости и еще больше репутации в случае поднятия шуму людьми, у которых пропадут деньги.
          • 0
            Теряет не банк деньги, а клиенты… недавно у знакомого 150 000 грн увели с Приват-Банк24, вернуть удалось только 70 или 80к. Банку было вообще нас&ать. Даже СБ не шевелилась.
            У этого недобанка уже давно репутации нету…
      • +1
        Вы только сейчас начали искать другой банк? Да вы сударь терпеливый.
    • +15
      Кстати как идентифицируют что ты хакер?
      Это на лбу надпись светится? По моему любой разработчик может сделать анализ работу чужого софта, разве все программист хакеры?
      • +12
        Очень просто: если ты нашел баг в чужой системе, ты — хакер, а это преступление!
        • +2
          Правильно! Ибо обычные люди пользуются сервисами, а не ищут в них уязвимости.
          • 0
            Обычные люди, «продвинутые пользователи» тоже вполне могут случайно натолкнуться на баг, и понять его суть. В этом случае преступлением станет любопытство и желание помочь сотрудникам банка исправить их ошибку :)
            • +2
              Нет. Ибо это автоматически делает обычного человека «хакером». Честный человек должен закрыть глаза и пройти мимо. Да-да. Именно так оно и должно работать по мнению закона.
              • 0
                Мне очень жаль, что у нас не такое общество, в котором есть только честные люди. В таком обществе и банков бы не было.
                • 0
                  Как связаны банки и (не)честность?
                  • 0
                    Это комплексный вопрос. Но в частности, в уважаемом себя обществе не будет мысли выдавать кредиты под 56% годовых.
                    • +1
                      Если заемщик об этом уведомлен, то почему нет?
                      • 0
                        Он не уведомлён. Мне пришлось полчаса потратить, чтоб высчитать по всем формулам суммарную переплату. В результате я отказался от кредита.
                    • 0
                      Ну так ставки напрямую от рисков и сроков зависят.
                      Обеспеченные недвижимостью ипотечные кредиты вот вполне себе недорогие.
                      А кредит-займ на неделю без проверки платежеспособности — естественно, будет дорогой (и не 56%, а вполне и все 560% может быть), иначе кредитор превратится в благотворительную организацию )
                      • 0
                        И даже 730% вполне реально :)
                      • 0
                        Он естественно дорогой, т.к. отсутствует фактор честности и самоуважения, как было отмечено выше.
                        С обеих сторон.
                        Да само понятие инфляции, которым оправдывают процент на кредит, не должно существовать.
                        • 0
                          Да само понятие инфляции, которым оправдывают процент на кредит, не должно существовать.

                          Как так не должно? Куда же она денется? )
                          • 0
                            Сбалансированная монетарная политика позволяет исключить инфляцию. Но её полное отсутствие многими специалистами считается негативным фактором для экономики. У людей меньше стимулов инвестировать и больше хранить деньги «под матрацем».
                        • 0
                          Процент на кредит обуславливают обычно двумя вещами:
                          — прибылью (большей инфляции как правило) — инвестору будет неинтересно давать деньги в долг без получения прибыли
                          — рисками — инвестор должен учитывать риск того, что кто-то кредит не вернет и понесет убытки.
        • 0
          «Реверс-инженеринг — нарушение EULA;-)». Дальше от этого можно плясать куда угодно…
          • 0
            Прошу прощения что поднял тему.
            Но именно такая позиция у Oracle.
            И, имхо, такого быть не должно…
    • +9
      Что за привычка ссылаться на практику «в цивилизованных странах», обосновывая репрессивные действия. Как в хороших начинаниях брать пример с цивилизованных стран, так нет — «у нас свой путь».
      • 0
        «Система ниппель: туда — дуй, оттуда — , в общем, 'не дуй'»;-) тоже в некотором смысле «двойные стандарты»…
  • +5
    Надо понимать, что у них система безопасности бьет тревогу даже когда переводишь деньги между своими картами в разных банках. Так что приведенный аргумент(со стороны привата) для меня сомнителен.
  • +3
    Самое страшное, что все логичные доводы (изменил для целей показа, никаких денег не заработал, уведомил сразу банк и пр.) нашим «самым гуманным судом в мире» не будут услышаны, ведь у истца есть связи и миллионы. У нас так людей за клевету на форумах штрафуют — написал, что «фирма Рога и Копыта не выполнила мне ремонт, гандоны долбаные», и получаешь потом штраф или исправительные работы.
  • 0
    Ну как аукнется так и откликнется.
    • +2
      Уверен многие (в т.ч. и КПИшники) поддержат парня в случае, если дело пойдет дальше обычных обсуждений в СМИ
  • +16
    ПриватБанк те еще неадекваты. Стоит только поискать:
    habrahabr.ru/post/78599/
    habrahabr.ru/post/93643/
    habrahabr.ru/post/138429/
    habrahabr.ru/post/104233/
    habrahabr.ru/post/111853/

    Кстати, вчера по всей Украине лежала куча их POST-терминалов, Приват24 не работал, мерчанты постоянно выдавали ошибки (у нас штук 50 платежей не ушло из-за бредовых ошибок вроде «Невозможно оплатить с мерчанта 0» и ошибок SSL).
    • 0
      Может они как Apple сейчас начнут перелопачивать всю систему безопасности и закроются на 2-3 недели. :)
    • +2
      действительно ПРИВАТ
      • НЛО прилетело и опубликовало эту надпись здесь
        • –3
          Тогда уж «ПреведБанк» :D
    • –3
      Не ошибается тот, кто ничего не делает. У остальных украинских банков android-приложений вообще нет, и с клиент-банками все грустно
      • –1
        Неправда. ИМХО фигачить под все и вся приложение не есть правильная тактика. Достаточно одного качественного веб-интерфейса для ЛЮБОГО устройства.
        Клиент-банки есть у многих банков в Украине.
        У приват-банка он, имхо, самый сложный и запутанный.
        • +1
          Он может и сложный (хотя как по мне — не сложнее OTP'шного), но зато гораздо функциональней.
          Например я узнавал у того-же OTP — их интернет-банк не позволяет проводить обмен валют, а для меня это нужная операция, хотя может их сотрудница неправильно выразилась. Не говоря уже об интерфейсе для пополнения телефона, покупки билетов, пополнения своего счета через любую карту и прочего функционала.
          • +1
            А кроме ОТР других банков нет, у меня не Приват уже много лет как отказался работать с этим дерьмобанком, есть карты нескольких других банков и там очень даже вменяемый клиент-банк, включая любые платежи, покупки и т.п. Рекламировать не буду, если нужно найдете функциональный клиент-банк за пол часа просто позвонив в службу поддержки разных банков.
            • 0
              Да есть другие банки, это те два — которыми я пользуюсь лично. Остальные знаю только по рассказам. Но это не только мое мнение, что ПБ по количеству услуг в онлайн-банке (к сожелению, не по качеству) заметно опережает другие банки.
            • 0
              Рекламировать не буду

              Рекламировать не надо. Просто оставьте ссылку.
              • 0
                Лично мне нравится клиент Альфа Банк (Украина), как веб так и мобильное приложение. Из фишек, которых нет больше почти ни у кого — блокировка/разблокировка проверки cvv, что позволяет не напрягаться и платить со своей карты в любой точке мира онлайн, не думая, что тебя подцепят на регулярные платежу. Из негатива, по слухам, отвратительное обслуживание кредитуемых клиентов, но я кредиты не беру так что сервис устраивает.
            • +3
              Приходится работать с ПБ только потому, что у каждого клиента есть карта ПБ. Хоть об этом банке и известно много гадостей, нас это ниразу не коснулось.
              Несмотря на всю косность службы безопасности (а именно они, судя по всему, и начали создавать видимость бурной деятельности, как это было в своё время с детектором лжи), их IT-подразделение, хочу заметить, занимается экспериментальными и передовыми (как минимум, для Украины) разработками в сфере интернет-банкинга. Это в ПБ я впервые получил возможность работать со своими счетами в терминалах и банкоматах даже без карты в кармане. Это у них есть мобильный платёжный терминал (первый и, пока, единственный в Украине). Это на тематической встрече, организованной ими, я смог увидеть одни из первых Google Glass в Украине. И, кстати, они экспериментируют с Приват24 для Google Glass.
              Имея карты и счета в других банках, более удобного веб-сервиса я не знаю.
              • +4
                Почему я отказался от работы с приватом, было 3 прецедента:
                1) Находясь не в своем городе, банкомат сожрал карту, нужны были срочно деньги, в наличии был паспорт и загран-паспорт, в отделении мне отказали в выдаче денег с моего счета, т.к. внимание, у меня нет карты, перевыпуск карты занял почти месяц.
                2) После попытки нелегально списать деньги с моей карты, попытался закрыть свой счет, но не смог получить деньги оставшиеся там сразу, процедура заняла 2 недели со звонками в главное отделение.
                3) Через 3 года после того как перестал пользоваться их услугами (все счета закрыл, со скандалом по пункту 2) мне начали названивать представители банка и в ультимативной форме требовать погасить задолженность, так как якобы у меня остались не закрытые счета (какая-то хрень типа подарочной карты, которая выпускается без ведома клиента) и тададам они мне насчитали комиссию за ее обслуживание, естественно были посланы в жопу суд, но звонки не прекратились, хорошо у них был старый номер, который не жалко было выбросить (на заметку тем кто открывает у них счета, в информации указывать отдельный номер).

                В дополнение на товарища они оформили кредит, который он не открывал, доказывал через суд, банк не смог предоставить копию договора с его подписью, та копия что была, была подписана не им, соответственно экспертиза подписи и испорченные нервы на пол года. Про их говносервис liqpay, который теряет платежи через раз еще можно рассказать. Хуже сервиса нет ни у одного банка, в плотную к ним стремится Аваль, но пока даже близко не догоняет, зато банкоматы по всему городу — это да, хотя нафига они нужны если карты принимают в любом магазине, не ясно. В кошельке обычно гривен 200 мелкими купюрами, на проезды, и всякие мелочи, остальное на картах ибо удобней.
            • 0
              А личным сообщением прорекламировать тоже никак?
          • 0
            После того как я увидел их UI для клиентов у меня напрочь отпало желание иметь с ними дело, поскольку такой же хаос наверняка вторится и во всем остальном. Ну а о секьюрности, думаю, можно не говорить, посольку судя по UI/UX денег в back-office вложили маловато.

            Из всех перечисленных операций в моембанке нет только обмена валют (не особо и надо).
            Остальное все можно сделать на специальных сайтах (билеты, телефон etc).
        • 0
          субъективно: пользовался ПБ, дельта и пумб.
          В последнем у меня их клиент-банк под линуксом не запустился, саппорт заявил, что они не поддерживают ничего, кроме виндовс (при том, что это java-апплет и, по хорошему, должен одинаково работать во всех ОС). После переписки с саппортом выяснили ошибку и протестили на их дев. сервере, еще через месяц они залили обновление на прод. В это время я уже не был их клиентом.
          Клиент-банк от дельты запустился без проблем, но, по сравению с тем же приват24, он куда более сложный и непонятный
          • –2
            Балованый вы клиент однако. Сталкивался с похожей проблемой в разных банках — версия java vm или браузера.
            Ничего страшного в этом не вижу.
        • –1
          Я вот как раз недавно интересовался, даже здесь в Q&A вопрос оставил. Подскажите, у кого в Украине есть работающий веб-интерфейс для СПД? Все остальные в лучшем случае используют страшненький джавовский iFOBS, в худшем случае (аваль) вообще какое-то глючное говно, написанное студентами за еду.
          • –1
            У всех есть, не поверите.
            И у всех работающие.
    • +1
      ну POS же… айтишный ресурс, блин :)
  • +5
    Надо понимать что за такую дыру в протоколе по голове гладить не будут. В первую очередь отгребут работники ПриватБанка. Какой выход? Свалить вину на кого-то еще. Это вообще прекрасный оборот:

    Изъян в системе, который он нашел, не является страшным, не особенно угрожает клиентам банка.

    И репутацию подмочили и о дальнейшем сотрудничестве речи быть не может. Кто из разработчиков захочет им рассказывать где у них еще прокол? Я бы не рассказывал.
    • +2
      Так если он не угрожает, за что его тогда обвинять? ;)
      • 0
        Вы почитайте, что за каша у них в голове:
        Нужно понимать, что он хакер. В цивилизованных странах это уже преступление.
  • +9
    Взаимоисключающие параграфы?

    Даже высокий уровень безопасности не означает полную неуязвимость!
    Если Вам известны «слабые места» в банковских системах, а также
    любых веб-ресурсах ПриватБанка, сообщите об этом нам и получите вознаграждение до 10 000 гривен в случае подтверждения и устранения уязвимости специалистами Банка.

    privatbank.ua/safeness/
    • +3
      «Экономика должна быть экономной — таково требование времени» ©, а под такую дудку могли решить его заставить бесплатно на них поработать за обещание дело не заводить.
    • 0
      … в случае подтверждения и устранения уязвимости специалистами Банка.

      А если не устранили, то скажите спасибо, что не подадим в суд.
  • +8
    Подождите, ведь парень написал сотруднику ПриватБанка в Днепропетровск, написал служебку в СБ Киевского отделения, это разве не доказательства предупреждения об опасности, а не использование ситуации в корыстных целях? Единственная подстава — подмена официального приложения банка, надо было этот момент как-нибудь заверить с указанием факта именно демонстрации возможностей ошибки.
    Но в целом, конечно, мрази, это очевидно.
    • +3
      Эмм насколько я понял официальное приложение банка он подменил у себя на телефоне или на телефоне сотрудников безопасности банка для демонстрации, ни в коем случа не на гугл сторе. Так что не вижу тут никаких проблем.
      Поаправьте если я не так понял.
      • +1
        По-совести проблем нет. Но если прочесть цитату
        Как только Мохов попытался перевести чужие деньги, наша система безопасности забила тревогу
        то видно, что его действия вырвали из контекста ситуации. По факту-то он действительно попытался перевести деньги и факт тревоги СБ тоже налицо. Только интерпретация действий мразотная, якобы это их заслуга в поимке «опасного хакера».

        Я думаю, что если у него есть документальные доказательства, так сказать, раннего оповещения банка, то всё гораздо веселее, чем кажется, т.к. тут уже банку придётся доказывать, что действия Мохова в момент демонстрации уязвимости носили противоправный характер. Хотя я бы такой разговор всё равно вёл под диктофон, как минимум, или вообще начал бы общение только по предварительному подписанию документов, снимающих с меня ответственность за ситуацию с такой уязвимостью. Я не знаток УК Украины, но основопологающие моменты должны совпадать с УК РФ, как мне кажется.
        • 0
          Действия безусловно носили противоправный характер, но т.к. он связывался с СБ банка и проводил действия в их присутствии, то значит у него не было умысла. А, соответственно, нет и состава преступления. Так что, по уму, суд ему не грозит.
          • 0
            До того, как он демонстрировал эти действия в присутствии СБ банка, он протестил работоспособность дырки.

            Чтобы доказать, что уязвимость есть, нужно убедиться в работоспособности методов. Для этого случайным образом из базы данных ПриватБанка был выбран человек (фамилия у него как то на «У» начинается, не помню уже). Ну я доказал и пошел все показывать. Опять-таки все описал в объяснительной записке.
  • +4
    Таких идиотов еще поискать нужно.
    В таких случаях выносят благодарность и поощрение. Обычно в долларах США.
    А не бочку катить и пытаться свое самолюбие поддерживать на должном уровне, закрывая глаза на калечность своего ПО.
  • +3
    Чтобы доказать, что уязвимость есть, нужно убедиться в работоспособности методов. Для этого случайным образом из базы данных ПриватБанка был выбран человек (фамилия у него как то на «У» начинается, не помню уже). Ну я доказал и пошел все показывать. Опять-таки все описал в объяснительной записке.

    ИМХО, тут он немного переборщил.
    • +3
      Деньги то он вернул на ту же карту, меня больше смущает фраза:
      Для этого случайным образом из базы данных ПриватБанка был выбран человек

      т.е. у кроме всего прочего есть еще и доступ к базе клиентов?
      • 0
        Оказалось, что банк позволял еще и переводить средства с карты на карту хоть в другой банк, хоть в другую страну (через Visa/Mastercard). Это помимо доступа к конфиденциальным данным человека (баланс, счета, кредиты, депозиты в банке)


        Судя по всему, если и не было доступа к общему списку клиентов, то перебором информацию получить таки можно
  • +28
    )) в случае открытия уголовного дела, предлагаю всем клиентам ПриватБанка подать иск на ПриватБанк, так как дырка в безопасности их программного обеспечения позволили третьему лицу получить доступ к персональной инормации, которая, по закону, должна защищаться банком. То есть из-за халатности работы банка каждому клиенту был нанесен моральный ущерб, как минимум. Думаю, размер компенсации может заставить банк хорошо задуматься о своем иске.
    П.С. Если в чем неправ, то более сведущие в юриспруденции хабравчане меня поправят.
    оффтоп. вот и пригодилась незакрытая карточка ПриватБанка.
    • +1
      В этом случае нужен коллективный иск + грамотно составлен грамотным юристом.
      По одиночке мало кто захочет судится с ПБ
      • 0
        по коллективному иску как раз банк может выиграть. и обработать один коллективный иск намного проще, чем тысячи одиночных. идея как раз в том, чтобы исков было много. основная идея не в том, чтобы выиграть эти иски. нужно, чтобы они просто были. думаю, что юристы меня поймут. Да и виновнику я отписал свою идею/позицию, посмотрим, что он скажет. нужно, чтобы он сам для начала проконсультировался со своим юристом по этому поводу. ведь подобная деятельность может и повредить ему каким то образом, который я могу банально не заметить.
        • 0
          Ну в этом случае нужна будет хотя бы помощь в составлении иска.
          Я, например, как человек не особо знаком с этим делом — долго буду разбираться как правильно его составить, куда подавать и т.д.
  • +8
    Скажите, я правильно понял, что он ранее работал в компании Samsung и проекте Viewdle?
    • +18
      Нет, вы не поняли, он работал в компании Samsung и проекте Viewdle
  • +3
    Ему не нужно было переводить чужие деньги, взял бы свою карту и продемонстрировал. Я сам не однократно находил уязвимости в их сервисах, подавал заявки и получал вознагрождение. Но я использовал только свои карты.
  • +3
    Нужно было продавать уязвимость тем, кто сможет ей распорядиться. Заработал бы себе на лексус, а у СБ банка появилась бы возможность показать, как они бы действовали против настоящих хакеров. К сожалению, у нас в стране банки понимают только такие методы.
    • 0
      Недавно на хабре статья была про челвоека, который пытался продать свое «решение» по телефонным карточкам.
      Чем все закончилось — почитаете.
      Если в 2х словах — то нет гарантии, что «покупатель» не будет подставной.
  • +4
    В ближайшие две недели руководство банка решит, возбуждать ли дело по этому факту.

    Что за нелепость. Дело возбуждают правоохранительные органы.
    • 0
      Дело возбуждают правоохранительные органы.

      По заявлению от банка.
      То есть: в органы подается заявление о (например)мошенничестве, возбуждается дело.
      А потом уже оно может быть закрыто по причине отсутствия состава преступления.
      • +2
        Органы решают, возбуждать ли им дело на основании поданных документов.
  • +8
    ПриватБанк ответил неожиданно, обвинив программиста в попытке украсть средства со счетов клиентов банка.

    Честно говоря, ПриватБанк ответил ожидаемо. Это далеко не первый случай такой реакции со стороны ПриватБанка на письма программистов, где указываются конкретные уязвимости.

    Мой знакомый довольно долго «шел на принцип», выискивая уязвимости и заваливая банк письмами с требованиями исправить ошибки (причем письма он составлял с юристом — и на основании своего клиентского договора с банком именно требовал обеспечить безопасность в том числе собственных денег). Результат нулевой, если не считать попыток травить его собственной СБ, милицией и судами.

    В общем, суть моего комментария проста. Реакция ПриватБанка — не случайность, а последовательная политика компании.
    • 0
      как я писал выше, требования что то делать воспринимаются широкой русской душой как надругательсвто. а есил бы требовали компенсации за преступное и халатное бездействие, то реакция была бы как нужно. правда могу ошибаться. Но, данный случай может дать всем нам шанс проверить это. если хотя бы 5000 клиентов подадут иск, то ПБ как минимум прийдется задействовать большие человеческие ресурсы для обработки и ответов на все эти иски. да, сумма компенсации (1000-5000) может оказаться для банка совсем небольшой и им проще будет откупиться, но тут уже дело принципа. можно или оставить случай без внимания, а можно уже начинать проявлять свою жизненную позицию.
  • 0
    Надо понимать, что "хакер" != «преступник».
  • +11
    Для нерезидентов Украины поясню — ПриватБанк у нас самый безалаберный банк из всех имеющихся. Некомпетентность и хамство — его визитная карточка. Подобная неадекватная реация вполне в его стиле…
    • –8
      Неправду пишете
    • +6
      К сожалению, ему нет равных по количеству банкоматов и отделений… Банкоматы есть везде. У нас в Николаеве нужно еще поискать перекресток без банкомата привата.

      А в плане некомпетентности — тут согласен, бывает. Сам им пару раз объяснял как что-то у них же неработает. Если нужно сдать что-то не стандартное — лучше в отделение не идти. Пишешь им в «чатик» и через 5-40 минут проблема обычно решается. С решением уже можно идти в отделение, если это нужно.

      Зато еще к достоинствам можно отнести очень функциональный клиент-банк. Далеко не во всех баках есть подобные возможности.
      • 0
        А какой смысл в этих банкоматах, если все равно со своих же клиентов комиссию берут? И есть банки сети «Атмосфера», тоже банкоматы есть везде + приложение для девайсов, которое помогает их находить. Я после перехода с ПриватБанка на КредитАгриколь почувствовал наконец-то что такое нормальное и человеческое обслуживание, адекватная круглосуточная техподдержка и отсутствие ощущения, что тебя держат за мудака, которому постоянно нужны какие-то кредитные карты и конечно же очень интересно получать смс, что теперь мой кредит повысили на 100$.
    • 0
      С другой стороны из пятка банков только Приват смог решить мои проблемы, пускай и долго транзакции длятся.
    • 0
      И это ему не мешает развиваться и быть одним из крупнейших, наиболее функциональных банков. Люди колятся, но работают с ним.
      Хотя я лично зарекся когда либо возвращаться в ПБ. Нервы и деньги важнее банкоматов и интернет банка.
  • +6
    Из текста на [ kpishnik.kpi.ua/archives/1114 ] есть кое-что, что не считаю хорошей идеей:
    -То есть ты перечислил деньги со счета случайного человека чисто для демонстрации? Сколько, кстати?
    -Вроде 430 или 450 грн. Кстати, средства, конечно же, были возвращены назад владельцу.

    То, что вернул — хорошо. Но для демонстрации надо было взять счет не случайного человека, а как минимум знакомого, который дал согласие.
  • +2
    Одного меня мучает вопрос закрыта ли уже дыра, ити всё пока на своих местах?
    • +7
      закрывают как правило быстро, максимум 1 мес
      • 0
        Судя по описанию уязвимости известно куда копать для поиска этой дыры, так что если её оперативно не закрыли, то в ближайшее время ею воспользуются.
        • 0
          Как ни странно, злоумышленники предпочитают другие методы, менее технологичные.
  • +24
    Прикол из жизни.
    Я завел в аккаунт ПБ свою штатовскую карту, а через 12 часов мне позвонили из Визы за разрешением блокировать карту — ею уже пытались уплатить на украинской автозаправке.
    • 0
      Вы, будучи на украинской территории, пытались платить или кто-то ещё?
      • 0
        Нет, у меня нет раздвоения карты и личности — украинская заправка и я пребывали по разные стороны Атлантики.
        • 0
          Т.е. даже не через дырку в банк-клиентте, а клон сделали?
  • НЛО прилетело и опубликовало эту надпись здесь
  • 0
    Эта история как-то противоречит этой истории про тот же банк но другие уязвимости…
  • +10
    Всем привет, я редактор ресурса, на который ссылается пост. Хотел сам запостить, да кармы пока не хватает.

    Алексей говорил, что хочет опубликовать все технические подробности уязвимости здесь (естественно, после того, как уязвимость пофиксят). Правда, не знаю, законно ли это.

    Если кому-то интересно, то вот обсуждение истории на D3 и на форуме украинских программистов Developers.org.ua.
    • 0
      Если пубилкация подробностей будет после фикса дырки и (в идеале) с письменным разрешением ПБ — то почему нет.
      С удовольствием почитал бы!
      • –2
        Публиковать такие вещи надо сразу и никого не спрашивая. Обязательно анонимно. Сейчас даже если кто-то другой самостоятельно найдет и использует уязвимость, всех собак повесят на известного им чела.
        Вон, уже был случай, чел нашел уязвимость в кардиостимуляторах и умер до конференции. Публиковать надо без предупреждения, чтобы корпорациям это было как снег на голову, чтобы они ничего не успели предпринять против.
        • –1
          Вы считаете, что тех. подробности взлома стоит выкладывать анонимно в сеть, не уведомив при этом компанию?
          В наших реалиях, да, возможно. Но в общем случае публикация уязвимостей крайне желательна только после того, как ее закрыли.
          Исключение, по моему мнению, может быть только в случае длительного игнорирования сообщений.
          • +5
            Давайте задумаемся о мотивации. Исследователь тратит свое время на поиск уязвимостей, и часто вынужден потратить еще больше времени и усилий чтобы что-то доказать корпорациям и заставить их чесаться. Что он может получить взамен? Просить денег — прямая дорога в тюрьму, проверено неоднократно, даже не пытайтесь повторить. Публиковать в открытом доступе под своим именем — имеем весьма спорный профит с самопиара и неиллюзорный шанс отхватить люлей, при регулярной практике этот шанс непременно сработает.
            Какая может быть еще мотивация? Самое очевидное — использовать уязвимость самому, или продать на сторону. Если эксплоит имеет ценность, чаще всего так и делается, при определенной удаче можно грести бабло, а за удобную 0day уязвимость в определенных продуктах можно сразу купить квартиру в Москве. А на паблик сливают лишь негодный для эксплуатации шлак, годные дыры становятся известны лишь после длительной эксплуатации. В случае с приватбанком, кардеры бы спокойно выложили до 50к за такую тему, а будь эта уязвимость в каком-нибудь европейском банке, можно смело просить 200к и присматривать себе недвижимость.
            Продавайте уязвимости на черном рынке, исключение — те компании которые прямо предлагают деньги за поиск уязвимостей. Но тут надо сравнивать где дадут больше.

            Помните, корпорации нам не друзья и не братья, а подлые и лицемерные враги, они делают красивое лицо и держат нож за спиной. Хотите сделать мир лучше — сливайте всё негодное для юзания в паблик анонимно, создавая максимум шума и паники чтобы нанести как можно больший ущерб. Корпорации косячат — значит должны страдать. Как они к нам, так и мы к ним.

            З.Ы. Народ, что-за адский наивняк? Здесь одни говорят что «в цивилизованных странах» хакера на работу возьмут, другие говорят что вознаграждение дадут. Снимайте розовые очки, а то жизнь обламывает такие мечтания с крайней жестокостью. Какая к чертям работа, тут не сеть и то замечательно. А будет на работу устраиваться, никогда не признавайтесь что хоть раз в жизни что-нибудь ломали.
            • +2
              Из ваших слов сделаю вывод, что в результате любое телодвижение должно упираться в квартиру в Москве?

              Корпорации косячат — значит должны страдать.


              Да не будут они особо страдать. Страдать будет баба Люба, уборщица, которую принудительно перевели на обслуживание (зарплатный проект) в ПБ и которая в какой-то момент просто не сможет получить те 800 грн…

              А корпорации — ну да, минус по репутации. Ничего, найдут крайнего, перевернут все в пиар да и только.
              Резюмируя: если смотреть на все это с выгодой для себя (а вы, почему-то, только эту сторону рассматриваете) — да, наиболее оптимальным будет слить инфу втихую. Но я все же надеюсь наберется немало людей, которые готовы проинформировать банк\фирму\корпорацию об уязвимости не ради собственной наживы.
    • 0
      А вот и сам Алексей: habrahabr.ru/users/vertuozzo/. Если у кого-нибудь есть инвайт, дайте ему, чтобы он рассказал тут все подробности и ответил на все ответы.
      • +3
        Ждем пост, инвайт выдан.
    • 0
      Вот немного подробностей ain.ua/2013/09/04/137788
  • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      А это уже действительно преступление.
      • +6
        Лучше не сидеть за преступление, чем сидеть за непреступление.
  • +1
    >Изъян в системе, который он нашел, не является страшным
    Какой хороший банк, считает что если у клиентов украли деньги-это нестрашно
  • +2
    Никогда не пользовался услугами этого скотовника. И никогда теперь и не стану.
    • 0
      Ошибки допускают все. Другое дело, что мои знакомые, работавшие в ПриватБанке, сами крайне негативно характеризуют этот банк — он старается всё сделать чем подешевле, не уделяя должного внимания качеству (кроме, разве что, рекламы). К сожалению, с моей точки зрения, это характерная черта большинства крупных компаний с громадным оборотом: ПрватБанк, Сбербанк РФ (… список можно продолжать… ). Они вне конкуренции, и это беда их клиентов, желающих большего. Подобные структуры зачастую слишком консервативны и жадны, чтобы быть на острие последних инноваций, особенно в ИТ-сфере, в которую они зачастую не так сильно вкладываются (разве что «для галочки»).
      А ещё почему-то у них считается моветоном платить нормальную зарплату программистам, вот и не идут к ним квалифицированные профессионалы…
  • –5
    ПОПРОБОВАЛ БЫ ОН СДЕЛАТЬ ЭТО В ЦИВИЛИЗОВАНЫХ СТРАНАХ!!! МИНЯ АШ ТРИСЕТ!!!
    • 0
      Фи, уважаемый
      • –1
        да да, я забыл, что тут очень все серьезные, и даже красненький курсив не спасет
  • 0
    >> В цивилизованных странах это уже преступление.
    Тонко, но все равно по-свински.
  • 0
    Алексей Мохов репостит :)
    vk.com/vertuozzo?w=wall3297570_7183
    • 0
      Он уже здесь: habrahabr.ru/users/vertuozzo/, только пока в рид-онли.
  • +1
    ПриватБанк редкостное говно, хочу я вам сказать.
    «Кеш»-лимит распространяется на операции по карте, не только на наличные.
    Голд карту выдать раньше одного года обслуживания не могут.
    Снятие в своих банкоматах 1%, когда как перевод в другие банки 15р=)

    Их эквайринг liqpay задерживает выплаты.
    Жалобы остаются без ответа.

    В общем попользовался месяц, с горем-пополам выводил с их счетов свои деньги в течение 3х месяцев из-за лимита.
    Отказались закрывать счет, хотя по ГК РФ мое право на закрытие счета — исключительное. Так и сказали: «Можете обратиться в суд».

    Никому не рекомендую.
    • +1
      Их эквайринг liqpay задерживает выплаты.

      Проблема только в том, что у других банков аналога liqpay вообще нет.

      Да и вообще приват плохой, если сравнивать его со сферическим банком в вакууме. А если с реальными конкурентами, то особо с привата и уйти то некуда.

      К примеру, я взял недавно карту Альфабанка, ну думаю типа ж крутой российский банк должен быть на уровне. Так при пополнении счета в рабочее время 17:45 через их банкомат в отделении, деньги на счет упали только на следующий день, при пополнении перед праздниками зачислили только через 3 дня. В общем походу там вообще всё в ручном режиме работает. Что как-то диковато после привата, в котором можно через терминал хоть в 2 часа ночи пополнить и деньги через 5 минут будут на карте.

      В общем да в привате много глюков проскакивает, но спасибо им за то, что они в отличии от других хоть что-то делают, ну и пожелание наладить контроль качества.
      • 0
        А как вам: приходит СМС «Вы получили перевод», а доступен он становится только через 10+ суток и, главное, это строго по регламенту.
    • 0
      Зато, если память не изменяет, liqpay позволяет принимать платежи даже физлицами, не зарегистрированными в качестве ИП
  • +14
    Всем привет. Беспокоится в большей степени Q&A отдел (и меня заваливает просьбами выдать все детали по багу). Марат Шмуш (походу основной Android программист по Приват24) не может понять, где «зарыта собака», деталей не хватает. СБшники ПриватБанка (вроде как) спокойны, В. В. Максименко удивлен, почему мне никто не позвонил по результатам решения из Днепропетровска. До Пресс-службы дозвониться не выходит.
    • +2
      Алексей, а зачем подставились с переводом от случайного лица? Считаю, что нужно было свои деньги гонять.
      • +1
        Так и делал (вначале).
      • 0
        Свои деньги гоняются по другим схемам. Как минимум платеж не нужно подтверждать через SMS.
        Поэтому перевод между своими картами непоказателен.
        • +1
          А кто говорит о том, чтобы на свою же карту переводить?
          Главное, что деньги свои нужно использовать.
          Я об этом речь веду.
        • +2
          Можно поросить карту у приятеля. И делать переводы между ними
          • 0
            Конечно можно, а можно забить, как большинство бы и поступило. Ну серьезно — как вы это себе представляете? Я предполагаю, что нашел уязвимость, вряд ли конечно — это же банковское веб-приложение, а не школьная поделка… желание проверить так сильно, что я начинаю просить у друзей карты. У всех же есть ненужные активные карты, с небольшим количеством денег и желательно без cvv кода — я ж не хочу быть под подозрением если у него потом с этой карты в интернете деньги уведут?
            Не должен человек нести ответственность за то что послал tcp пакет! Вот если бы он таким образом выявил уязвимость и использовал ее в корысных целях это другой вопрос. А после такого… вариант забить кажеться наиболее правильным.
  • +6
    Привет банк вроде как из ТОП бакнов, но качество и уровень секюрити просто зашкаливает лажами.
    Реальный недавний личный пример:
    у меня VIP статус клиента, по их словам это означало, что кроме куратора, никто в филиалах банка не может получать доступ к моим счетам. Даже брат сват жона и остальные.
    В итоге узнаю что ктото получил к моим данным доступ, т.е. я то знаю кто, моя бывшая со своим новым. Я бегом в банк, вижу что мои личные данные были все заменены на чужие!!! бегом блокирую счета и снимаю все деньги. Тутже успеваю получить инфу, записать номер телефона который использовался для доступа… Позже удивительно нахожу этот номер телефона по ежемесячным оплатах за какоето смс информирование. Т.е. ежемесячно 60 центов снималось на данный номер, он же был использован для доступа к моим данным. Звонил на этот номер, там ребенок поднимает все время трубку, т.е. он в частных руках а не у банка.

    Короче начинаю долгие походы в банк. Пишу заявления о нарушениях и взломе. Мне отписываются — мол сами виноваты, не раздавайте кому попало свои контактные данные и все. Ходил в их отдел безопасности, дал им все уже готовое, кто когда и как… в ответ тишина, все что могил сказать это «Ну бывает, просто недобросовестные сотрудники» !!!!?!?!?!7 крутой ответ от отдела безопасности банка. Короче ПРИВЕТ банк идет лесом… ему доверия в минус 1000 очков, им походу побоку даже VIP клиенты.
    Как мне намекнули потом, банку не выгодно лишний шум о нарушениях безопасности, типа рейтинг. Вот и заминают все что могут. Потому ничего удивительного что там бардак и всплывают разные истории в инете.
    • 0
      Не хочу Вас расстраивать, но тут не работники банка виновны.
      Аналогичная ситуация. Дал двоюродному брату расчетную карту. О том, что расчетную карту можно активировать только имея кредитку привата — вообще отдельный разговор. Активировал на себя.

      И тут в один прекрасный день я не могу войти в приват24. Мало того, моего номера вообще нет в системе.
      Малый имея карту и пин к ней, прошел новую регистрацию в приват24 и этим самим все мои счета стали его счетами. Да да, и это тоже VIP статус.

      Сотрудники банка сказали только «Любой кто имеет Вашу карту может сменить любые Ваши данные и получить доступ ко всем счетам».

      В Вашем случае, Ваша бывшая скорее всего поступила таким же путем. У нее случайно не было одной из Ваших карт? Если была… Выводы делайте сами…
      • +1
        Каждые два года выпускалась новая карта. К текущим картам доступа она не имела как и к телефону, без которого не получить по идеи доступ к приват24. старые карты может и нашла гдето, но они закрывались вроде как по времени, ведь даже я не мог получить по ним информацию в приват24.

        И еще важен момент VIP статус клиента. Да допустим она могла прийти в банк с моими данными как жона, типа муж уехал или заболел и в больнице… но ведь по словам GOLD операторов, никто не может получить доступ к вашим счетам без вас. Вот и получается, что пришла в банк, уговорила сотрудника/сотрудницу, и получили доступ к счетам и заменили все данные, не имея карты и телефона на руках. По сути это уголовка, насколько я слышал. Н кто будет этим заниматься если сам банк морозится. А даже имея все доказательства, чтобы доказать нужно горы свернуть, вот и получается, и банку похрен на клиентов и страна такая что никто не отвечает и наказать нету возможности.
        • –1
          Вы Gold считаете VIP? Тогда понятно… Его давно открыли всем работникам…
          • 0
            ведь написал «GOLD операторы» они и обслуживают сейчас VIP клиентов, в центральном банка есть отдел для VIP и GOLD. а в мелких филиалах только GOLD который и обслуживает и тех и других. Также мои слова о VIP это не самомнение, а реальность, потому как мне пришлось писать заявление чтобы сняли статус VIP и закрыли счета. Негоже вот так, с бодуна обвинять человека в тупости.
            • 0
              Видимо из-за того что Вас обслуживают Gold операторы Ваши данные и открыты.
              У меня однажды была ситуация, сломал основную карту. Другие карты в другом городе, а нужна была срочно карта что бы рассчитаться в нескольких магазинах и снял наличные. На дворе суббота. Пошел в центральное отделение. Мне не смогли выдать даже миттеву или любую другую кредитку так как к моей информации никто не имеет доступа кроме менеджера.

              При любых банковских операциях (если их делает не ваш менеджер) ему звонят, и просят доступ к вашим данным.
              • 0
                При мне была ситуация, попросил распечатку со своего счета, сказали что мою карту не видят почемуто, попросили подождать, связались в чате толи в скайпе с кемто, только потом смогли выдать информацию. Но при этом всетаки фиксировали, кто когда и что просил. Значит при желании можно легко узнать, кто когда и как получил доступ к счетам. Вот только им это не выгодно.
  • 0
    Как-то ПриватБанк сам себе противоречит. «Изъян в системе, который он нашел, не является страшным» — если не страшно то он и не хакер и не такой уж крутой специалист. Чего стразу: «Он хакер. В тюрьму! », ну нашел там что-то, все равно ихняя система безопасности все словит. Таких хакеров в школах и институтах хоть пруд пруди, всех в тюрьму? А если «Нужно понимать, что он хакер. В цивилизованных странах это уже преступление» то таки наверно ссыкотно стало
  • 0
    Ну, версию «потерпевшей стороны» я прочел, как и все, с возмущением и сочувствием. Классика жанра, глупый большой обижает маленького, при этом последний обязательно хороший персонаж ;-) Маленький защищаясь (от чего? обвинения предъявлены? номер дела?) начал информационную войну, взяв в союзники автора статьи — бывшего тестировщика привата (уже подозрительно). Чем ответит приват? Ждем официальную версию!
    • 0
      Не уверен, что официальная версия == правдивая версия.
  • +1
    Лишнее подтверждение давно известной истины — не имейте никакого дела с Приват-банком, не держите там деньги, не делайте переводы, не берите кредиты — короче не пользуйтесь их услугами. Если не хотите проблем.
    • 0
      Иногда особой альтернативы нет.
    • +1
      истина!

      На мое мнение, все идут в привет изза его популярности, довольно удобно когда банкомат на каждом углу, и не придется платить больший процент за снятие через другой банк. Таже система приват24 пока лидер на рынке.
      Но опыт за много лет показал что все, что связано с ПРИВЕТ банком, выводит из равновесия:
      — банкоманыт везде, но большую часть времени они глючат, снимают деньги и не выдают наличку, забирают карты и не выдают. и такое происходит массово по всюду, а люди неделями бегают потом по банкам.
      — их терминалы везде, но сколько сталкивался, именно терминалы превет-банк аи не работают зачастую, постоянно проводили или чрез Аваль или через другие, спрашивал, говорили что постоянно нету связи или не работают.
      — самые огромные и длинные очередя это в ПРЕВЕТ банке. я уже даже не помню где еще видел очереди кроме как в превете.
      — узнайте фамилии владельцев филиалов привет банка и обалдеете, когда столкнулся то был шокирован, почти все филиалы, то цигане то армяне и т.д., т.е. кто попало, стоит задуматься.

      — в кризис когда все рухнуло, привет тупо вжарил и ограбил пол украины, знаю лично людей которые не могли снять деньги с депозитов, а банк им предлагал откат, типа возьмите 2т вместо 10т и радуйтесь или не получите ничего. Люди были рады и 2т взять потому как был риск потерять все. И такое было массово, т.е. в наглую кинули людей и им за это ничего не было. Ведь люди сами подписывали отказ.
  • 0
    Кто такие КПИшники?
    • +4
      Студенты Киевского Политехнического Института
  • +2
    Раз Приватбанк такой УГ, надо было уязвимость продать на тематическом форуме, анк бы понес многомиллиардные убытки.
  • +3
    Состав статьи:
    45% — лого привата
    45% — копипаст в цитате
    5% — копипаст прямой речи
    5% — вода от автора
    • +5
      Зато 146% комментариев.
    • 0
      Речь об этом посте или о статье по ссылке?
      • 0
        О посте
  • +1
    Походу, служба безопасности отводит фокус внимания от того факта, что у них осталась копия модифицированного кода (%.
  • +1
    Сколько уже было статей на эту тему, и все они укладываются в тезисы:
    1. Кто-то нашел уязвимость, баг, дыру.
    2. Сообщил об этом владельцу.
    3. Этому «кто-то» потом вместо спасибо вваливают люлей.

    Вывод: не надо ни о чем сообщать.
    • +1
      Вывод: сообщать, но не владельцев ресурса, а «других ребят» — и ресурсу урок и все остальные в доходе
  • +3
    Идеальный следующий шаг для специалиста:
    1. Написать полностью аналогичное письмо в Нац. Банк. С полным изложением всех деталей, скриншотами и т.п. С пометкой «комерційна таємниця».
    2. Отправить его копии в СБУ, прокуратуру, ДСТЗИ.

    Естественно все письма — заказные с уведомлением о вручении.
    После этого:
    1. Факт злого умысла «установит» разве что Печерский суд Киева (или Индустриальный Днепропетровска).
    2. Нац. Банк будет вынужден дать им 10 дней на устранение уязвимости, после чего — ограничение деятельности и запрет на применение электронного банкинга.

    Приват, конечно, воспользуется коррупционными схемами для ухода от ответственности, но им будет дешевле принести извинения нашедшему уязвимость специалисту, выложив текст билетами Федеральной Резервной Службы США.
    • +1
      С какой стати после этого банку ему будет платить?
      • 0
        По решению суда.
        • +1
          За что?
          • 0
            За порчу репутации. Это в случае если банк таки решит заявить о «преступлении».
  • 0
    Данная ситуация еще раз доказывает что существование ПриватБанка всего лишь жалкое недоразумение.
  • 0
    Интересно, о чем умалчивают изложения событий в версии от банка и от программиста. Есть шанс, что там были какие-то переговоры о награждении, которые ни к чему не привели, а банк потом взял и надавил.
  • 0
  • +1
    Сегодня нашел мелкую уязвимость в сервисе Приват24, сообщил через официальную форму, посмотрим что будет :)

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.