[Quid prodest? Cui prodest?] ПриватБанк обвинил украинского программиста, обнаружившего уязвимость в Android-приложении «Приват24» и сообщившего об этом службе безопасности, во взломе

отметили
43
человека
в архиве
[Quid prodest? Cui prodest?] ПриватБанк обвинил украинского программиста, обнаружившего уязвимость в Android-приложении «Приват24» и сообщившего об этом службе безопасности, во взломе
КПИшник Алексей Мохов, бывший сотрудник украинского Samsung и Viewdle, нашел уязвимость в Android-приложении «Приват24». ПриватБанк ответил неожиданно, обвинив программиста в попытке украсть средства со счетов клиентов банка.

Со слов Алексея:

Сейчас я занимаюсь софтом для служб такси в Киеве (как-то так вышло, что занесло в эту степь, раньше работал в Samsung & Viewdle). Так вот. Стояла задача периодически проверять баланс банковских карт ПриватБанка ну и если надо — переводить средства на другую карту. Почему ПриватБанка? Потому что у них одна из самых больших сетей ТСО (терминалов самообслуживания). Схема такова — таксист подходит к ТСО, приложение для пополнения счета в такси запрашивает номер карты, система выдает ему карту и ожидает поступления средств. Как только средства упали на карту — зачисляет средства в системе такси.

В ходе исследования протокола связи с банком я заметил пару ошибок в системе безопасности. Начал глубже копаться в них. Оказалось, что банк позволял еще и переводить средства с карты на карту хоть в другой банк, хоть в другую страну (через Visa/Mastercard). Это помимо доступа к конфиденциальным данным человека (баланс, счета, кредиты, депозиты в банке).

После проведения экспертизы я написал об этом в твиттер, связавшись с аккаунтом ПриватБанка. Помимо этого написал сотруднику ПриватБанка в Днепропетровск, чтобы на меня быстрее вышла Служба безопасности банка.

В тот же день вечером ПриватБанк из штабквартиры в Днепре написал служебку в Киевское отделение Привата на Печерске, написали само собой в отдел СБ. Со мной созвонился представитель Привата В. Максименко и предложил встретиться, показать и рассказать что там да как. Произвел впечатление опытного специалиста, никто не давил на меня (вроде даже и не думали).

Ну я приехал, показал и рассказал, как программисты Привата допустили дыру в безопасности. Показал, как можно подставить в принципе любого человека, даже председателя правления Привата. Еще я подменил официальное приложение банка (добавил в него свой код) и показал, что можно сделать с ним. Почти нереально отличить официальное от модифицированного. Они в шоке были, отдел из 8-10 человек в комнате, — все работают и в пол-уха слушают мой монолог про все эти дела.

«Нужно понимать, что он хакер. В цивилизованных странах это уже преступление. Изъян в системе, который он нашел, не является страшным, не особенно угрожает клиентам банка. Как только Мохов попытался перевести чужие деньги, наша система безопасности забила тревогу. Его бы обязательно нашли», – говорит начальник пресс-службы «ПриватБанка» Олег Серьга.

В результате ПриватБанк начал расследование попытки взлома своей системы безопасности программистом Алексеем Моховым, который ранее работал в компании Samsung и проекте Viewdle. В ближайшие две недели руководство банка решит, возбуждать ли дело по этому факту.
Добавил suare suare 11 Сентября 2013
Как бы Вы поступили на месте Алексея?
Abstraction Без учёта этой истории - так же. А вот с такими *** - опубликовать вектор атаки анонимно и все дела (3)
bytecat С учетом многих подобных историй, продал бы уязвимость. (2)
Комментарии участников:
Abstraction
+11
Abstraction, 11 Сентября 2013 , url
Нужно понимать, что он хакер. В цивилизованных странах это уже преступление.
Как же умиляют вот такие ссылки на «цивилизованные страны» в качестве обоснования любого взятого с потолка бреда.

ОК, ребята, следующий нашедший у вас уязвимость расскажет об этом кому-нибудь другому, не вам. Удачи.
manny21
0
manny21, 11 Сентября 2013 , url
Захотелось дураку почесать свое самолюбие… )


Войдите или станьте участником, чтобы комментировать