Hogyan kpishnik alexey mokhov csapkodott privatbank - kpishnik
KPIshnik Alexei Mokhov, az ukrán Samsung és Viewdle egykori alkalmazottja sebezhetőséget talált az "Privat24" Android alkalmazásban. A PrivatBank váratlanul reagált, azzal vádolva a programozót, hogy pénzeket keressen a bank ügyfelei számláiból.
Most Kijevben a taxi szolgáltatásokra dolgozom (valahogy kiderült, hogy beléptem a sztyeppbe, szoktam dolgozni a Samsungban Viewdle). Tehát ez az. A feladat az volt, hogy rendszeres időközönként ellenőrizze a PrivatBank bankkártyák egyenlegét, és ha szükséges, pénzt adjon át egy másik kártyára. Miért van a PrivatBank? Mert az egyik legnagyobb TCO-hálózat (önkiszolgáló terminál) van. A rendszer a következő: a taxis megközelíti a TCO-t, a taxi számlázására vonatkozó kérelem kártyaszámot kér, a rendszer kártyát ad ki neki, és várja, hogy a pénzeszközök megérkezzenek. Amint az alapok a kártyára esettek - jóváírt pénzeszközök a taxi rendszerben.
A bankkal folytatott kommunikációs protokoll vizsgálata során néhány hibát észleltem a biztonsági rendszerben. Elkezdtem mélyebben belevágni őket. Kiderült, hogy a bank a kártyáról a kártyára is átvihet egy másik bankba, akár egy másik országba (Visa / Mastercard útján). Ez a bizalmas személyes adatokhoz (egyenleg, számlák, kölcsönök, bankbetétek) való hozzáférés mellett.
Ugyanezen a napon, este, PrivatBank, a székhelye a Dnyeper, írta egy irodát a kijevi Privatni branch Pechersk, írta magát az SB osztályban. Privatimen V. Maksimenko képviselője telefonált nekem, felajánlotta, hogy találkozik, megmutatja és elmondja, mi történik ott. A szakképzett szakértő benyomást keltett, senki sem nyomott rám (mint azt még nem gondoltam).
Nos, megérkeztem, megmutattam, és elmondtam, hogy a Privat programozók biztonságossá tették a lyukat. Megmutatta, hogyan helyettesítheti elvileg bármely személy, még a elnöke a board Privat. Továbbá megváltoztattam a bank hivatalos alkalmazását (hozzáadtam a kódomat hozzá), és megmutattam, mit tehetek vele. Szinte lehetetlen különbséget tenni a hivatalos és a módosított között. Sokkban voltak, a 8-10 fő beosztása a teremben - mindannyian dolgoznak, és fél fülön hallgatják monológomat ezekről az esetekről.
És mit mondtak?
A kiberbiztonság terén nincsenek szakértők, csak közös csalással. Ez azt jelenti, hogy szinte lehetetlen bizonyítani, hogy miután bemutattam az összes trükköt az alkalmazásokkal / a bankkal, csak felemelték a kezüket. Annak ellenére, hogy az összképük elég jó maradt.
Mi vagy? Adatait elegendő volt a biztonsági lyuk rögzítéséhez?
Nos, nem ismertettem a technikai részleteket, hanem egyszerűen bemutatták. Ismétlem, nem értik az IT-t a programozók szintjén.
Ennek eredményeképpen a PrivatBank Dubilet igazgatótanácsának elnökének nevét magyaráztam, amelyben mindent elmondott nekem. Megírtam, hogy érdekes javaslatok esetén kész vagyok segíteni a probléma megoldásában. Ma a PrivatBank SB vezetője megy az elnökhöz, és kerekasztalon vitatja meg ezt a kérdést. Várom a döntést. Nos, ez minden, valahogy.
De ha ez volt a helyzet, akkor miért mondja Privat, hogy először kísérleteket tettek a hackelésre, és csak akkor lépett kapcsolatba a bank biztonsági szolgálatával?
Nos, igen, Privat van sokkolva: mozgatni kell őket, hogy valamit csinálnak.
Hmm, ez logikus. Tehát végül is nem voltak kísérletek a "csalárd ügyletekkel"?
Többször próbáltam átvenni a pénzátutalást a kártya utolsó 4 számjegyével. Megcsináltam. Annak érdekében, hogy senki ne helyettesítsen, átadtam a kártyámat. Sikeres fordítás után írtam a bank Twitterjére. Aztán a bank dolgozója. Mindezeket a műveleteket a magyarázat mutatja és magyarázza. Az SB PrivatBanknél, amely átruházta Dubilet térképét, nevetni kezdtünk, és ez minden.
Ezt hívták "csalárd ügyleteknek". - a próbálkozások próbáltak pénzt átvinni egy kártyáról a másikra?
Annak bizonyítására, hogy van egy biztonsági rés, meg kell győződnie arról, hogy a módszerek működnek. Ehhez véletlenszerűen választották ki a PrivatBank adatbázisából (nem emlékszik a nevének "U" nevére, már nem emlékszem). Nos bizonyítottam, és elmeséltem. Ismét leírtam mindent egy magyarázó megjegyzésben.
Így átutalt pénzt egy véletlen ember számlájáról, pusztán bemutatóért? Mennyit, egyébként?
Mint 430 vagy 450 UAH. Egyébként természetesen az alapokat visszaadták a tulajdonosnak.
Amint a barátaim helyesen megjegyezték, most az önéletrajzom egyetlen mondatra tömöríthető: "adja meg a" Mohov Privat24 "lekérdezést a Google / Yandexben" ".
Az Unite és a Runet különböző forrásairól szóló történelem megvitatása