«ПриватБанк» и BitBank зовут на работу хакера, который нашел уязвимость в «Приват24»
Разработчик Алексей Мохов, который нашел уязвимость в Android-версии «Приват24», сейчас обсуждает возможности трудоустройства сразу с двумя банками — «ПриватБанком» и BitBank (первый в Украине банк без отделений, который недавно запустили бизнесмен Алексей Пышный, а также управляющие директора инвестиционной компании Jaspen Capital Partners Максим Корецкий и Андрей Скалозуб).
Как Алексей рассказал AIN.UA, последний раз он связывался с «ПриватБанком» в этот понедельник, но конкретного предложения по работе в банке ему пока не озвучили. BitBank пытается захантить разработчика более энергично: «Сейчас пока я активно общаюсь только с BitBank. В перспективе вроде как мне готовы предложить что-то вроде Chief Security Officer в IT-отделе», — рассказал он. По словам Алексея, работать простым программистом ему было бы неинтересно. Также, по словам Алексея, на него вышла лондонская Quickbloх, которая пишет ПО для азиатских банков, с предложением протестировать их продукт на уязвимости.
В «ПриватБанке» подтвердили, что сейчас ведут переговоры с программистом о том, чтобы предложить ему работу: «Лично Алексею Мохову банк готов предложить высокооплачиваемую работу или в штате банка, или удаленно, мы сейчас ведем переговоры об этом с программистом». Если же он обнаружит другие уязвимость в сервисах банка, ему выплатят премию в 10 тыс., как и любому другому программисту, который найдет слабое место в сервисах.
Банк также дал пояснения касательно своих предыдущих заявлений о мошенничестве со стороны Мохова: «Мы сожалеем, что Алексей Мохов не воспользовался открытыми каналами коммуникаций с банком, чтобы сразу сообщить о найденной уязвимости. С этим же были связаны и определенные недоразумения, так как наша система мониторинга безопасности платежей справедливо квалифицировала действия программиста по запуску сторонних приложений как мошенничество и автоматически заблокировала данные операции и дала старт расследованию факта мошенничества службой безопасности банка, а сам программист сообщил банку об уязвимости несколько позже и не напрямую, а через социальные сети и СМИ».
Напомним, Алексей Мохов две недели назад рассказал AIN.UA о серьезной уязвимости, найденной в Android-приложении онлайн-банкинга «Приват24».
Комментарии | 17
не пойму что за шум, какой то перец задиасамблил программу, подмешал туда свой слой и попытался проводить транзакции за что и был обвинен банком в мошенничестве. То что он потом сообщил о найденной уязвимости не отменяет факта что при «поисках» уязвимости были предприняты попытки мошенничества. Могу поспорить что этот же способ дизасамблирования этот же чувак использовал для крека платных Андроид приложений. Никакой должности начальника по айти безопастности ему не светит, так как безопасность обеспечивается комплексом мер, а не одиночными взломами программ.
Вы не внимательно читали предыдущие статьи. Задача была показать уязвимость. Все было не так, как вы пишите (немного напутали). Никогда пока еще не взламывал платные приложения.
P.S. Вы не знаете всех моих скиллов, поэтому я бы не был так категоричен в высказываниях.
P.S. 2 Я понимаю возможную зависть с вашей (чьей либо) стороны, но — что поделать.
2 Mohov
судя из того что я прочел ранне вы разбирались с апи приватбанка, а потом декомпилировали их приложение. предполагаю для того что бы узнать протокол шифрования и делать перехват информации до шифрования.
Правильно — Mokhov
Если вебсервис не проверяет нарушения логики отдавая это на откуп конечному клиентскому софту — то это вполне себе уязвимость.
А как был реализован эксплоит: то ли самописной софтинкой, то ли модифицированным клиентским приложением — все равно.
И если все это было проведено без извлечения выгоды, т.е. в исследовательских целях, то достаточно тяжело привлечь к ответственности. Тем более, что банк получил информацию.
Я могу взломать фейсбук. Могу отправить пост на стену от чужого именни. Значит я тоже хацкер?? Возьмите меня на должность Chief Security Officer..
А если чесно, то это (facepalm) или чисто пиар программиста при чем я сомниваюсь, что он мега гуру.
да какая тут зависть. Расскажите как все было, потому что я только что перечитал статью и там написанно так как я говорю.
Ок. Попытаюсь коротко.
Стояла задача проверять баланс банковских карт. Для этого пришлось «вскрыть» приложение, чтобы посмотреть на протокол обмена данными с банком. В ходе исследования нашел 2 проблемы — были открыты 4 последние цифры карты (банальный перевод средств через СМС — банкинг) и снятие всей конфиденциальной инфы из банка о человеке. Проверил, сработало, сообщил в банк. Подмена приложения Приват24 — это немного отдельная тема, специально ее показывал для СБ ПриватБанка.
То, что люди хотят писать статьи / записывать интервью про меня / ПриватБанк — в этом я не виноват. То, что я знаю и чего не знаю — опять таки оценит общественность или определенные люди. Не вижу проблем.
что значит «вскрыть» ? есть ли в юзер агримент приложения привата пункт что дизасамблирование приложения запрещено и будет преследоваться по закону?
«есть ли в юзер агримент приложения привата» — юзер агримента я вообще не видел на Google Play, не то, чтобы какой то пункт =)
ок ) нет юзер эгримента — можна делать все что хочешь )))
Сначала засудить обещали, а когда репутационные риски возросли — на работу зовут 🙁
Заявление от Привата полное? Если нет, то в полном заявлении есть ссылка или объяснения на процедуру «правильного» обращения в банк по поводу уязвимости?
Aleksey Mokhov, а сейчас, после всех этих перипетий, вы знаете как оформить заявку на обнаруженную уязвимость в Привате?
Размышляю: вот кто-то еще одну уязвимость обнаружит, что ему делать?
Зная Приват и видя часть его заявления, я пока вижу подход с их стороны «я начальник, ты дурак», немного сглаженный «сожалениями». Даже написано в негативном ключе вместо конкретных предписаний что делать.
PS
Между делом нашел еще одну уязвимость в Привате 😀
Вбиваю в браузер _privat.ua_ и перехожу на ukrrudprom.ua/news/V_banke_Igorya_Kolomoyskogo_obnarugili_uyazvimost.ХТМЛ (убрал из адреса протокол, чтобы не делать рекламу, блин дискус упорно делает ссылку)
Алло! Приватовцы, вы в курсе, что это тоже уязвимость, только другого характера.
Влияет на репутацию банка.
А если тот сайт еще в фирменные цвета раскрасить, вообще репутационная бомба будет.
У банка что, денег не нашлось выкупить домен у киберсквоттера?
Ну, допустим, нет денег (в бюджете) или заартачились сквоттеры.
Обратитесь в Гугл и Яндекс, чтобы сайт забанили в поиске или хотя бы убрали его из списка саджест.
http://privatbank.ua/safeness/ — это по поводу ИТ- уязвимостей . Видимо, плохо искали, раз нужный линк не нашли
Видимо, банку не очень то нужно, чтобы линк находили.
Начало процесса поиска я описал: начал вводить название банка и гугл мне предложил вышеуказанную ссылку.
Читаю и удивляюсь. При чем тут юзерагрименты и скиллы?… Имел право — не имел права… Вывод из ситуации прост — снести пока приложение и подождать пару месяцев, пусть допилят 🙂 Ну а программисту публичный ататат и пожелания успехов с трудоустройством 🙂
Приват банку не нужно, чтоб находили уязвимость. Представители данного банка даже не реагируют на заявление о мошеннических действиях с помощью приват24, хотя деньги ушли без ведома собственника карты и без смс подтверждений. Возникает такое же желание, как и у Алексея расписать эту схему, от которой я пострадала, и предать ее общественности.