То, что всяк преступник, тем более организованный, спит и видит, как бы получить доступ к чужим банковским счетам знают все. Копилку этого знания иногда подогревают уголовные дела, возбуждаемые по факта кражи средств со счетов клиентов различных банков. Чаще всего х- крупных, поскольку преступнику не резон размениваться по мелочам, организовывая свое преступление. Чаще всего нам рассказывают о том, как преступники взламывают западные банки – понятно, что там денег находится гораздо больше, чем в наших отечественных финучреждениях. Но теперь преступники ломают банки и у нас, о чем уж несколько дней гудит встревоженная ИТ-общественность Украины.
Как сообщается на сайте студенческой газеты КПИ, программист Алексей Мохов нашел уязвимость в Android-приложении «Приват24». Правда, сегодня с обеда этот сайт недоступен, но описание инцидента можно прочитать на сайте газеты «Капитал» или на AIN.UA.
Bug
«Сейчас я занимаюсь софтом для служб такси в Киеве (как-то так вышло, что занесло в эту степь, раньше работал в Samsung & Viewdle). Так вот. Стояла задача периодически проверять баланс банковских карт ПриватБанка ну и если надо — переводить средства на другую карту. Почему ПриватБанка? Потому что у них одна из самых больших сетей ТСО (терминалов самообслуживания). Схема такова — таксист подходит к ТСО, приложение для пополнения счета в такси запрашивает номер карты, система выдает ему карту и ожидает поступления средств. Как только средства упали на карту — зачисляет средства в системе такси.
В ходе исследования протокола связи с банком я заметил пару ошибок в системе безопасности. Начал глубже копаться в них. Оказалось, что банк позволял еще и переводить средства с карты на карту хоть в другой банк, хоть в другую страну (через Visa/Mastercard). Это помимо доступа к конфиденциальным данным человека (баланс, счета, кредиты, депозиты в банке).
После проведения экспертизы я написал об этом в твиттер, связавшись с аккаунтом ПриватБанка. Помимо этого написал сотруднику ПриватБанка в Днепропетровск, чтобы на меня быстрее вышла Служба безопасности банка.
В тот же день вечером ПриватБанк из штабквартиры в Днепре написал служебку в Киевское отделение Привата на Печерске, написали само собой в отдел СБ. Со мной созвонился представитель Привата В. Максименко и предложил встретиться, показать и рассказать что там да как. Произвел впечатление опытного специалиста, никто не давил на меня (вроде даже и не думали).
Ну я приехал, показал и рассказал, как программисты Привата допустили дыру в безопасности. Показал, как можно подставить в принципе любого человека, даже председателя правления Привата. Еще я подменил официальное приложение банка (добавил в него свой код) и показал, что можно сделать с ним. Почти нереально отличить официальное от модифицированного. Они в шоке были, отдел из 8-10 человек в комнате, — все работают и в пол-уха слушают мой монолог про все эти дела.» - говорит Алексей.
Казалось бы, Приват банку надо радоваться – человек нашел возможность беспрепятственно воровать деньги со счетов клиентов банка. И вместо того, чтобы заняться воровством, пошел в банк и продемонстрировал, что у них не в порядке. Сотрудники вполне могли бы заняться устранением дыр в безопасности, а человеку выплатить обещанную премию, о которой они также вывесили объявление на своем сайте.
Но ответ ПриватБанка был довольно неожиданным:
«Нужно понимать, что он хакер. В цивилизованных странах это уже преступление. Изъян в системе, который он нашел, не является страшным, не особенно угрожает клиентам банка. Как только Мохов попытался перевести чужие деньги, наша система безопасности забила тревогу. Его бы обязательно нашли», – завил начальник пресс-службы «ПриватБанка» Олег Серга.
Безусловно, программиста, взламывающего банк по требованию сотрудника службы безопасности нашли бы быстро – тут сомневаться не приходится. Но вот вернули ли бы деньги человеку, счет которого был взломан – это большой вопрос.
Причем, Олег Серга не опроверг слов Алексея Мохова о том, что демонстрационный взлом он делал по требованию сотрудника службы безопасности ПриватБанка. Тем более, ни слова не сказал о том, что банк обещал вознаграждение за найденные уязвимости, в том числе и на своем сайте. Даже наоборот, речь в настоящее время идет о возбуждении уголовного дела. А из этого можно сделать вывод, что благодаря найденной Алексеем Моховым уязвимости вскрыта мощная ОПГ, потрошившая счета клиентов. Так, сотрудник безопасности, по требованию которого Алексей взломал чей-то счет в демонстрационных целях, в терминах уголовного кодекса является организатором преступления. Таким же, как и неустановленные лица, разместившие на сайте ПриватБанка объявление о вознаграждении за найденные уязвимости. Ибо таким образом они и заманивали в свои сети непосредственных исполнителей, которые даже не понимали, что они делают. А также сообщниками являются разработчики мобильного приложения «Приват-24», заложившие в нем возможность взлома.
Конечно, говорить о поимке ОПГ как о свершившемся факте рановато, но, согласитесь, все указывает на это.