КПІшників Олексій Мохов, колишній співробітник українського Samsung і Viewdle, знайшов уразливість в Android-додатку «Приват24». ПриватБанк відповів несподівано, звинувативши програміста в спробі вкрасти кошти з рахунків клієнтів банку.
Зараз я займаюся софтом для служб таксі в Києві (як-то так вийшло, що занесло в цей степ, раніше працював в Samsung Viewdle). Так ось. Стояло завдання періодично перевіряти баланс банківських карт ПриватБанку ну і якщо треба - переказувати кошти на іншу карту. Чому ПриватБанку? Тому що у них одна з найбільших мереж ТСО (терміналів самообслуговування). Схема така - таксист підходить до ТСО, додаток для поповнення рахунку в таксі запитує номер карти, система видає йому карту і очікує надходження коштів. Як тільки кошти впали на карту - зараховує кошти в системі таксі.
В ході дослідження протоколу зв'язку з банком я помітив пару помилок в системі безпеки. Почав глибше копатися в них. Виявилося, що банк дозволяв ще і переводити кошти з картки на картку хоч в інший банк, хоч в іншу країну (через Visa / Mastercard). Це крім доступу до конфіденційних даних людини (баланс, рахунки, кредити, депозити в банку).
В той же день ввечері ПриватБанк з штаб-квартири в Дніпрі написав служебку в Київське відділення Привату на Печерську, написали само собою в відділ СБ України. Зі мною зв'язався представник Привата В. Максименко і запропонував зустрітися, показати і розповісти що там та як. Справив враження досвідченого фахівця, ніхто не тиснув на мене (на кшталт навіть і не думали).
Ну я приїхав, показав і розповів, як програмісти Привату допустили діру в безпеці. Показав, як можна підставити в принципі будь-яку людину, навіть голови правління Привату. Ще я підмінив офіційний додаток банку (додав в нього свій код) і показав, що можна зробити з ним. Майже нереально відрізнити офіційне від модифікованого. Вони в шоці були, відділ з 8-10 чоловік в кімнаті, - всі працюють і в пів-вуха слухають мій монолог про всі ці справи.
І що тобі відповіли?
Там немає фахівців в області кібербезпеки, тільки за звичайними шахрайствам. Тобто щось довести майже неможливо, а після моєї демонстрації всіх трюків з додатками / банком вони просто розводять руками. Хоча загальне враження про них залишилося досить гарне.
На чому ви зійшлися? Твоєї інформації було досить для того, щоб пофиксить діру в безпеці?
Ну, я не описував технічні деталі, а просто демонстрував. Повторюю, вони не розбираються в IT на рівні програмістів.
У підсумку я написав пояснення на ім'я голови правління ПриватБанку Дубілета, в якому все розповів. Написав, що в разі цікавих пропозицій готовий допомогти усунути цю проблему. Сьогодні начальник СБ Приватбанку повинен йти до голови і за круглим столом обговорити це питання. Чекаю їх вирішення. Ну ось і все, як-то так.
Але якщо все було саме так, то чому Приватні заявляє про те, що спочатку були спроби злому і вже тільки потім ти звернувся в Службу безпеки банку?
Ну да, Приват ж в шоці: їм теж движуху треба підняти, що вони щось роблять.
Хм, логічно. Значить все-таки не було ніяких спроб "шахрайських транзакцій"?
Я спробував кілька разів зробити переказ коштів за допомогою отримання 4 останніх цифр карти. У мене це вийшло. Щоб нікого не підставляти, зробив переклад на свою карту. Після успішного перекладу написав в твіттер банку. Потім співробітнику банку. Всі ці дії показав і розповів в поясненні. У СБ Приватбанку запропонував зробити переклад на карту Дубілета, ми посміялися і все.
Тобто те, що назвали «шахрайськими транзакціями». - це були твої тестові спроби перевести гроші з однієї картки на іншу?
Щоб довести, що вразливість є, потрібно переконатися в працездатності методів. Для цього випадковим чином з бази даних ПриватБанку був обраний людина (прізвище у нього як то на «У» починається, не пам'ятаю вже). Ну я довів і пішов все показувати. Знову-таки все описав в пояснювальній записці.
Тобто ти перерахував гроші з рахунку випадкову людину чисто для демонстрації? Скільки, до речі?
Начебто 430 або 450 грн. До речі, кошти, звичайно ж, були повернуті назад власнику.
Як правильно помітили мої друзі, тепер моє резюме можна стиснути до одного речення - 'введіть в Google / Yandex запит' Мохов Приват24 " '.
Обговорення історії на різних ресурсах уанету і рунета