Антикоррупционный портал job-sbu.org > Наши материалы > Программист нашел лазейку, через которую можно обхитрить защиту «Приват24». За это его хотят отдать под суд. Дополнено
Голосование

Донбасс. Новороссия или Украина

Результаты опроса

Программист нашел лазейку, через которую можно обхитрить защиту «Приват24». За это его хотят отдать под суд. Дополнено

18:50 09.09.2013 1 450

Сегодня стало известно, что 25-летний программист Алексей Мохов нашел «дыры» в системе защиты «ПриватБанка». Он смог через интернет-банкинг «Приват24»  украсть с чужого счета небольшую сумму – 450 гривен. После этого, молодой человек первым делом позвонил в отделение банка и сообщил о своем открытии. Теперь руководство «ПриватБанка» вместо благодарности, хочет подать в суд на хакера. Стоит отметить, что в Европе, за это ему б предложили работу и выдали большую премию.

Алексей Мохов закончил пять курсов факультета информатики Киевского политеха, проходил стажировку в «Самсунге». Сейчас он работает программистом в службе такси. Выполняя свои прямые обязанности, а именно проверяя надежность перевода средств, которые осуществляли таксисты, он обнаружил плохую защиту в «Приват24». Чтобы не быть голословным он перевел с чужого счета некую сумму.

«Я договорился о встрече с представителями банка. Показал им, как можно завладеть деньгами практически каждого их клиента, который пользуется интернет-банкингом, – рассказывает Алексей Мохов. – Меня внимательно выслушали, пообещали разобраться».

После этого появилась шокирующая новость, в банке стали раздумывать, что же делать с хакером, наградить его или наказать?!

«Нужно понимать, что он хакер. В цивилизованных странах это уже преступление. Изъян в системе, который он нашел, не является страшным, не особенно угрожает клиентам банка. Как только Мохов попытался перевести чужие деньги, наша система безопасности забила тревогу. Его бы обязательно нашли», – говорит начальник пресс-службы «ПриватБанка» Олег Серьга.

По материалам: vz.ua

Дополнено:

Со слов Алексея:

Сейчас я занимаюсь софтом для служб такси в Киеве (как-то так вышло, что занесло в эту степь, раньше работал в Samsung & Viewdle). Так вот. Стояла задача периодически проверять баланс банковских карт ПриватБанка ну и если надо — переводить средства на другую карту. Почему ПриватБанка? Потому что у них одна из самых больших сетей ТСО (терминалов самообслуживания). Схема такова — таксист подходит к ТСО, приложение для пополнения счета в такси запрашивает номер карты, система выдает ему карту и ожидает поступления средств. Как только средства упали на карту — зачисляет средства в системе такси.

В ходе исследования протокола связи с банком я заметил пару ошибок в системе безопасности. Начал глубже копаться в них. Оказалось, что банк позволял еще и переводить средства с карты на карту хоть в другой банк, хоть в другую страну (через Visa/Mastercard). Это помимо доступа к конфиденциальным данным человека (баланс, счета, кредиты, депозиты в банке).

После проведения экспертизы я написал об этом в твиттер, связавшись с аккаунтом ПриватБанка. Помимо этого написал сотруднику ПриватБанка в Днепропетровск, чтобы на меня быстрее вышла Служба безопасности банка.

В тот же день вечером ПриватБанк из штабквартиры в Днепре написал служебку в Киевское отделение Привата на Печерске, написали само собой в отдел СБ. Со мной созвонился представитель Привата В. Максименко и предложил встретиться, показать и рассказать что там да как. Произвел впечатление опытного специалиста, никто не давил на меня (вроде даже и не думали).

Ну я приехал, показал и рассказал, как программисты Привата допустили дыру в безопасности. Показал, как можно подставить в принципе любого человека, даже председателя правления Привата. Еще я подменил официальное приложение банка (добавил в него свой код) и показал, что можно сделать с ним. Почти нереально отличить официальное от модифицированного. Они в шоке были, отдел из 8-10 человек в комнате, — все работают и в пол-уха слушают мой монолог про все эти дела.


Реклама

  • Гость: Действительно, у нас как то все с ног на голову перевернуто! В любой цивилизованной стране этому парню банк бы предложил возглавить охрану средств своих клиентов. Но такие тупорылые, как этот Олег Серьга решают по другому. Удавятся от расставания с лишней копейкой и наберут уродов на зарплату поменьше.
  • Гость: капитана очевидность нужно посадить)))) !)Эта новость уже давно не новость (года 2) Дурачек решил что в украине, тем более приватбанк ,дадут ему денег за то что он украл их с чужой карты?))Этот "взлом" может проделать любой ребенок от 5 лет)))для этого нужна карта приват банка ,и 16 цифр,срок действия,ссv2 код,и андроид. 2)он же где-то украл данные чужой банковской карты???а это уже кража банковских данных))))Идиот додумася в Приват банк обратиться за деньгами ггггг при том что сливал деньги на свою карту с чужой )))нужно было просто рассказать журналистам ,но не приватбанку)))))))))))))))
  • Гость: О, кажется пресслужба Привата и тут свои 5 копеек вставила. Парнишка-программист занимался процессингом средств на работе. Поэтому, версия что дыра была "Этот «взлом» может проделать любой ребенок от 5 лет)))для этого нужна карта приват банка ,и 16 цифр,срок действия,ссv2" - очевидный бред. Не умеете цивилизованно работать, хоть бы не позорились уже...
  • Гость: я не из приватбанка ,расскажу как)))нужно просто для начала привязать карту любого банка к аккаунту приват 24 для этого "16 цифр,срок действия,ссv2 код",а потом перевод с карты на карту выбираешь карту которую привязал, пишешь сумму и ссv2 и вуаля !! а слить реквезиты)) достаточно сфоткать с одной и другой стороны чужую карту ,но и сесть можно от 3 до 10
  • Гость: Журналюги раздули делюгу бездаря))))))) Кэп такой кеп
  • Гость: Ира правду говорит ,взлома-то не было)
  • Гость: Ира, во первых вы как-то подозрительно хорошо осведомлены о деталях. Во вторых если он сам позвонил - значит объективно не было умысла, а значит и состава преступления. Ну конечно, если самого факта несанкционированного доступа (взлома) к информационной системе не было. Если не было - значит и состава нет. Если был - значит дело фотографиями карточек не ограничивалось и действительно система привата с технической уязвимостью. Так был взлом или не был? Что вы мозги пудрите.
  • Гость: я много чего знаю;) Взлома самой системы приват 24 не было ,система была просто использована для транспортировки денег на карту с чужой карты,прикол в том что вы можете привязать кучу карт, разных банков и через систему кидать деньги например с карты Отп банка на карту ПУМБ без смс подтверждений только имея ccv2 код)))))))))))))))
  • Гость: сам факт того что он использовал чужую карту с которой скинул деньги на свою, уже криминал )
  • Гость: Ира, что такое состав преступления почитайте сначала.
  • Гость: хорошо ,прочитаю
  • Гость: >>То есть ты перечислил деньги со счета случайного человека чисто для демонстрации? Сколько, кстати? Вроде 430 или 450 грн. Кстати, средства, конечно же, были возвращены назад владельцу. "до пятидесяти необлагаемых минимумов доходов граждан или общественными работами на срок до двухсот сорока часов, либо исправительными работами на срок до двух лет, либо ограничением свободы на срок до трех лет." не надо было трогать чужие деньги.
  • Гость: состав такой например :я взломаю вашу машину и поеду покататься, но обязательно верну на место. Цель будет показать, что в реальном мире тоже много возможностей взлома
  • Гость: Ну ну. Покататься , обязательно верну... А я вот хочу чтобы луна была из зеленого сыра. УК такие вещи трактует однозначно. А не так как вам хочется передергивать в свою пользу
  • Гость: Ира не путайте кражу и угон. Угон считается завершенным преступлением, с момента свободного перемещения т/с, умысел при угоне важен, но умысел свободно распоряжаться чужим транспортом. Пленумом верховного суда установлено, что умысел при угоне, не на окончательное завладение т/с, а умысел на перемещение данного т/с. В случае с кражей, умысел необходим на полное и окончательное завладение чужим имуществом. Т.е. в нашем случае отсутствует состав преступления, а именно субъективная сторона преступления.