"PrivatBank" Android aplikācijas drošības caurums.
Aleksejs Mohovs (Алексей Мохов) ir atradis
drošības ievainojamību iekš Android aplikācijas „Приват24”.
Šī aplikācija pieder PrivatBank , Ukrainas filiālei un ir domāta , lai klienti no sava mobīlā tālruņa varētu veikt darbības ar savu kontu un tā līdzekļiem.
Šī aplikācija pieder PrivatBank , Ukrainas filiālei un ir domāta , lai klienti no sava mobīlā tālruņa varētu veikt darbības ar savu kontu un tā līdzekļiem.
Par šo ievainojamību , Aleksejs brīdināja
bankas drošības nodaļu, taču – ak pārsteigums, tagad no bankas puses viņam
draud tiesu darbi, par krāpniecību.
Kāpēc? Tāpēc , ka drošības cauruma
demonstrācijas laikā, kura notika priekš bankas drošības dienesta, Aleksejs
pārskaitīja no sveša konta uz savu kontu naudas summu, apejot bankas drošības
sistēmu.
Zemāk tulkotā intervija ar Alekseju.
Ko tev atbildēja bankas drošības nodaļas
darbinieki?
Neko, jo viņiem
nav IT drošības speciālistu, kuri rūpētos par drošību pret kiberuzbrukumiem. Tāpēc bija
grūti un sarežģīti jebko paskaidrot, pat pēc manas uzlauzšanas demonstrācijas
viņi tikai pārsteigumā plātīja rokas. Lai gan kopējais priekšstats par viņiem
palika pozitīvs.
Ar ko viss beidzās? Vai tevis sniegtā informācija,
bija pietiekama, lai izlabotu drošības caurumu mobīlajā aplikācijā?
Es neaprakstīju tehniskās
detaļas, bet tikai nodemonstrēju, jo drošības dienestā nav darbinieku, kuri
spētu saprast aplikācijas kļūdas programmēšanas līmenī.
Viss beidzās ar to , ka es
uzrakstīju paskaidrojuma vēstuli PrivatBank vadītājam, kurā arī iekļāvu visu to
informāciju, kuru biju jau sniedzis bankas drošības dienestam. Pašsaprotami,
pierakstīju klāt, ka interesanta piedāvājuma gadījumā no bankas puses, esmu gatavs palīdzēt izlabot
šo mobīlās aplikācijas kļūdu. Šodien drošības dienesta vadītājs tiksiess ar
bankas vadību, lai apspriestu šo jautājumu. Tas arī viss.
Ja viss bija tā, tad kāpēc PrivtBank ir publiski
paziņojusi, ka sākumā ir bijuši uzlauzšanas mēģinājumi no jūsu puses un tikai
pēcāk jūs vērsāties pie bankas drošības dienesta?
Nu jā, bankā visi
ir šokā un protams , ka viņiem ir kaut kas jāsaka, lai būtu ilūzija – viņi kaut
ko dara, kaut ko risina.
Hmm, loģiski. Tātad no tavas puses netika veiktas
krāpnieciska rakstura transakcijas?
Testēšanas nolūkos , es
pāris reizes mēģināju veikt naudas pārskaitīšanas transakciju, izmantojot tikai
4. kartes pēdējos ciparus. Tas man arī
veiksmīgi sanāca.
Taču lai nevienu neapzagtu,
es veicu pārskaitījumu uz savu bankas karti. Pēc veiksmīgas transakcijas, par
to veicu ierakstu bankas Twitter lapā un arī kāda bankas darbinieka Twitter lapā.
Visas šīs darbības vēlāk
tika izstāstītas un paskaidrotas bankas drošības dienestam tikšanās laikā.
Pietam tikšanās
laikā ar bankas drošības dienestu es piedāvāju nodemonstrēt,kā iespējams veikt
transakciju tieši bankas filiāles vadītāja konta, taču par to drošības dienests
tikai pasmējās, uztverot to kā joku.
Demonstrācijas
laikā ,es piedāvāju visu drošības apiešanas procedūru veikt no drošības
dienesta darbinieka tālruņa, taču uz šo piedāvājumu viņš atjokojās, ka nevēlās
lai es viņu apzogot. Tāpēc demonstrāciju nācās veikt no sava tālruņa un sava
konta.
Tātad, tas ko banka ir nosaukusi par „krāpnieciska
rakstura transakcijām” ir tikai tavas testēšanas sekas, kad tu mēģināji veikt
transakciju no viena konta uz otru?
Lai pierādītu
ievainojamības esamību, ir nepieciešams veikt testus. Priekš tā, uz labu laimi
no PrivatBank datu bāzes tika paņemti viena cilvēka dati (es pat vairs
neatceros viņa uzvārdu, bet laikam sākās uz U burtu). Testēšana pierādīja, ka
ievainojamība ir. Taču visa šī informācija tika aprakstīta iesniegumā, kuru
rakstīju bankas vadībai.
Tas ir , tu vienkārši pārskaitīji naudu no viena
cilvēka konta, tikai priekš ievainojamības demonstrācijas? Kāda bija šī summa?
Apmēram 430 vai
450 grivnas. Pietam , šī naudas summa uzreiz tika atgriezta īpašniekam atpakaļ,
pārskaitot uz viņa kontu.
Ok. Paldies tev par komentāriem. Cerams ka šī
situācija ar nesaprašanos tiks veiksmīgi atrisināta.
UPDATE :
Aleksejam Mohovam banka piedāvā darbu un ir paziņojusi, ka bankai nav pret viņu nekādu pretenziju.
Raksts : LINKS
Arhīva versija : LINKS
Aleksejam Mohovam banka piedāvā darbu un ir paziņojusi, ka bankai nav pret viņu nekādu pretenziju.
Raksts : LINKS
Arhīva versija : LINKS
Šī informācija nekādi neattiecās uz Latvijas "PrivatBank" filiāli,
jo viņi nelieto šo Android aplikāciju.
Raksts ir tulkots no kpishnik.kpi.ua vietnes.
Papildus vietnes ar informāciju par šo lietu :
0 comments :
Post a Comment
Comment: