Студент КПИ заявил, что нашел критическую уязвимость в мобильном приложении ПриватБанка, - СМИ
Студент КПИ Алексей Мохов, ранее работавший в Samsung и Viewdle, заявил, что нашел уязвимость в Android-приложении крупнейшего банка Украины, Приват24, пишет сайт КПІшник
"ПриватБанк ответил неожиданно, обвинив программиста в попытке украсть средства со счетов клиентов банка", - отмечает издание со ссылкой на Капитал.
Сам программист рассказал, что в ходе исследования протокола связи с банком в мобильном приложении банка он заметил несколько ошибок в системе безопасности, после чего "начал глубже копаться в них".
Вскоре он выяснил, что банк якобы позволял переводить средства с карты на карту "хоть в другой банк, хоть в другую страну (через Visa/Mastercard), и это "помимо доступа к конфиденциальным данным человека (баланс, счета, кредиты, депозиты в банке)".
Комментируя заявление банка в попытке взлома системы, Мохов, который сам обратился в службу безопасности финучреждения Игоря Коломойского сказал: "Приват же в шоке: им тоже "движуху" надо поднять, что они что-то делают".
"Я попытался несколько раз сделать перевод средств при помощи получения 4 последних цифр карты. У меня это получилось. Чтобы никого не подставлять, сделал перевод на свою карту. После успешного перевода написал в твиттер банка. Потом сотруднику банка. Все эти действия показал и рассказал в объяснении. В СБ ПриватБанка предложил сделать перевод на карту Дубилета, мы посмеялись и все", - поясняет он.
Издание допускает, что то, что назвали "мошенническими транзакциями", возможно, были тестовые попытки студента перевести деньги с одной карточки на другую. В ответ на это программист, действия которого уже активно обсуждают на популярных IT-форумах Рунета, отметил, что для того, чтобы доказать, что уязвимость есть, он хотел убедиться в работоспособности методов.
"Для этого случайным образом из базы данных ПриватБанка был выбран человек (фамилия у него как то на У начинается, не помню уже). Ну я доказал и пошел все показывать. Опять-таки все описал в объяснительной записке", - сообщил студент.
В свою очередь, пресс-секретарь ПриватБанка Олег Серга заявил, что банк сожалеет, что Алексей Мохов не воспользовался открытыми каналами коммуникаций с банком, чтобы сразу сообщить о найденной уязвимости. "С этим же связаны и определенные недоразумения, так как наша система мониторинга безопасности квалифицировала действия Мохова с доступа к чужим счета как мошенничество и автоматически заблокировала данные операции и дала старт расследованию факта мошенничества, а сам программист сообщил банку об уязвимости несколько позже и не напрямую, а через социальные сети и СМИ", - рассказал Серга.
И добавил, что если в будущем Алексей Мохов обнаружит какие-либо уязвимости сервисов и сообщит о них банку официально через сайт или электронную почту, ему будет выплачена премия в размере 10 000 грн. Серга подчеркнул, что только с начала 2013 года ПриватБанк уже выплатил таких премий порядка 230 тыс грн. В то же время, лично Алексею Мохову, по словам Серги, ПриватБанк готов предложить работу в штате банка, или удаленно. "Мы сейчас ведем переговоры об этом с программистом", - резюмировал пресс-секретарь ПриватБанка.
Как сообщалось, прибыль ПриватБанка, подконтрольного бизнесменам Игорю Коломойскому и Геннадию Боголюбову, превысила 1,181 млрд грн, заработанные в январе-июне 2013 года всей банковской системой Украины, состоящей из 175 банков.
По материалам КПІшник, Капитал