KPIshnik Алексей Mokhov, бивш служител на украински Samsung и Viewdle, намерил уязвимост в "Privat24» Android-приложение. Privatbank каза изведнъж, като обвини програмист в опит да открадне пари от сметките на клиентите на банката.

Сега аз съм ангажиран в областта на софтуера за таксиметрови услуги в Киев (по някакъв начин се е случило, че отбележи степ, се използва за работа в Samsung Viewdle). И така Задачата е да се проверява периодично баланс банкова карта Privatbank добре, а ако е необходимо - да се прехвърлят средства към друга карта. Защо Privatbank? Тъй като те имат една от най-големите мрежи от TCO (терминали за самообслужване). Схемата е следната - таксиметровия шофьор въпрос за TCO, заявлението за депозит в таксито пита за номера на картата, системата ще издаде карта и чака за получаване на средствата. След като средствата са паднали на картата - кредити на средствата в системата такси.

В съобщението от протокол на изследване с банката, аз забелязах няколко грешки в системата за сигурност. Започнах да бръкнат по-дълбоко в тях. Оказа се, че банката също е позволил да се прехвърлят средства от една карта на друга банка, въпреки че в друга държава (чрез Visa / MasterCard). Това е в допълнение към достъпа до поверителни данни за мъж (баланс, сметки, заеми, депозити в банката).

На същия ден вечерта от Privatbank седалище в района на река система написах в Киев клон Privat Pechersk себе си, пише в офиса на Съвета. Той ми се обади представител на Приват V. Maksimenko и предложи да се срещнат, шоу и кажете какво идва. Впечатлен от опитен професионалист, никой не ме притиска (като дори не мисля).

Е, аз съм дошъл да покаже и каже как в частни програмисти правят дупка в сигурността. Показах как е възможно да се замени по принцип всяко лице, дори и председател на борда на Приват. Аз също заменя прилагането официална банка (добавят към своя код) и показа какво може да се направи с него. Това е почти невъзможно да се разграничи от длъжностното лице се променя. Те бяха шокирани, Департамент по 8-10 човека в стаята - цялата работа, и половин ухо слушам моя монолог за всички тези неща.

А какво ще кажете?

Все още няма специалисти в областта на сигурността в киберпространството, само обичайните измамата. Това е нещо, за да докаже, почти невъзможно, а след моята демонстрация на трикове с приложения / банка, те просто свиват рамене. Въпреки че общото впечатление от тях остава доста добре.

На какво се съгласи? Информацията ви е достатъчно, за да се гарантира, че определена дупка в сигурността?

Е, аз не се описват техническите подробности, но просто доказана. Повтарям, че не разбират IT програмисти ниво.

В резултат на това, аз написах едно обяснение на председателя на Управителния съвет на Privatbank Dubilet, в което той каза всичко. Той пише, че той е готов да помогне за разрешаване на този проблем в случая с интересни предложения. Днес шефът на Privatbank на Съвета за сигурност, трябва да отидете на председателя и на кръгла маса за обсъждане на въпроса. Аз чакам за техните решения. Ами това е всичко, нещо подобно.

Но ако това е така, тогава защо Privat казва, че са били направени първите опити да се прекъсне, и само тогава може да се обжалва служба за сигурност на банката?

Е, Privat е шокиран: те също трябва да се повиши dvizhuhu, че правят нещо.

Хм, това е логично. Затова все едно не е имало опит да се "измамна сделка"?

Опитах се няколко пъти да се направи прехвърлянето на средства чрез получаване на последните 4 цифри от картата си. Взех го. За да не се изложи, направил превода на вашата карта. След успешен трансфер туитна банка. Тогава банков служител. Всички тези действия са показани и описани в обяснението. Privatbank на Съвета за сигурност предлага да направите превод на картата Dubilet, смяхме се всички.

Това е, което се нарича "измамна сделка". - Това беше опитите ви тест, за да прехвърлят пари от една карта в друга?

За да докаже, че уязвимостта е, необходимостта да се гарантира ефективността на метода. За да направите това на случаен принцип от бе избрана за лице Privat данни база данни (с име, тъй като е на "I" започва, не помня). Ами аз се оказа и отиде цялото шоу. Отново, всичко, което е описано в обяснителния меморандум.

Така че прехвърля пари от случаен човек сметка само за демонстрация? Как, между другото?

Подобно на 430 или 450 щатски долара. Между другото, означава, разбира се, са били върнати обратно на собственика.

Както правилно отбелязва мои приятели, сега моята автобиография могат да бъдат компресирани в едно изречение - "Enter заявката за Google / Yandex" Mokhov Privat24 ".

Обсъждане на истории на различни ресурси и Uaneta Runet