Вхід і реєстрація
Різне · 30 листопада 2016, 19:48 36989
Yaroslav Ulanovych, Scala Developer в Remote

Приватбанк позволяет злоумышленникам снимать деньги с карточки

Злоумышленники ударили Васю по голове, забрали кошелек и телефон. Пока Вася валялся без сознания, с помощью смс-банкинга сбросили пин-код и сняли все деньги с карточки. Еще раз: для смены пин-кода достаточно отправить смс с телефона владельца с номером карточки. Эту возможность нельзя отключить. То есть любой гопник может забрать деньги с вашей карточки. Как сказали в поддержке, это сделано для удобства идиотов, неспособных запомнить четыре цифры пользователей. Лично я предпочел бы лишний раз посетить отделение банка для сброса пин-кода вероятности потерять все деньги с карточки.

ДОБАВЛЕНО:
Чтобы сбросить пароль в приват24 нужна карточка, телефон и ИНН. То есть если вы носите с собой карточки, телефон и паспорт — злоумышленник получит доступ в интернет-банк.

Уважаемые коллеги, просьба посоветовать более безопасный банк.

Теми: безпека, ПриватБанк
👍ПодобаєтьсяСподобалось0
До обраногоВ обраному0
LinkedIn

Найкращі коментарі пропустити

Serg Mois 01.12.2016 12:19

Ярослав, ПриватБанк так же позволяет использовать Вашу прямую кишку в целях сексуальных удовлетворений, опять же после сценария с «гопник ударил по голове», но Вы почему-то до сих пор ходите с открытой легкодоступной дыркой каждый день, доступится до которой достаточно всеголишь ударить Вас по голове. О дырах в безопастности банка Вы подумали, но почему не подумали о дырах в вашей безопасности?

Перейти до дискусії
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
anonymous 13.06.2019 22:10

Для параноиков финансовый номер-симку держать дома, в сейфе. Доставать только при необходимости.

Відповісти
Підтримати
егор мамаев 28.09.2022 14:50

ну ты и голова и придумал.а че не в ячейке в Швейцарии??¿

Відповісти
Підтримати
anonymous
Владимир Тищенко 13.06.2019 22:01

Добрый день! Полностью согласен с Kira Cantatore. В любых продуктовых маркетах (в частности АТБ и Сильпо), оснащенных POS терминалами от Приватбанка пин-код не запрашивается. Так 31.05.2019 при оплате покупок в Сильпо, Киев, б-р Кольцова, 14м на сумму 180.20, POS терминал от Приватбанка провел операцию молча, не требуя ввода Пин кода, даже не задав вопрос о том, хочу ли я его ввести. Точно в таком же режиме 30.05.2019 провел молча операцию POS терминал от Приватбанка в маркете АТБ, с.Лесники, Ватутина, 168 на сумму 113.70. Таким же образом действуют POS терминалы от Приватбанка и в других маркетах. Перечислять все займет много времени. POS терминалы от Ощадбанка и Райфайзен однозначно спрашивают ПИН. О других банках не знаю. Считаю, что это обстоятельство создает уязвимость для счетов клиента. И это недопустимо. Ведь при потере карты любой нашедший ее сможет безболезненно снять всю сумму, пока клиент не спохватится о том, что она пропала.

Відповісти
Підтримати
Witalij Berdinskich 14.06.2019 16:05

Ещё один специально зарегистрировался на ДОУ чтобы расписаться в собственном профанстве.

Відповісти
Підтримати
Владимир Тищенко
Kira Cantatore 01.06.2019 23:14

А почему Приватбанк разрешает некоторым супермаркетам и не только, снимать без пароля деньги с карточки? Оказывается, можно снять до 1000 грн, не вводя пин-код! И об это, при выдаче не предупреждают! Ни смс не приходят о покупках, ни пароль не спрашивается. А узнаёшь тб этом, только когда теряешь карту и деньги на ней. На фига такие карты?? Да ещё без объяснений её минусов при выдаче в банке.

Відповісти
Підтримати
Witalij Berdinskich 01.06.2019 23:23
Ни смс не приходят о покупках

Потому что отвелючено уведомление СМС.

Оказывается, можно снять до 1000 грн, не вводя пин-код!

finance.liga.net/...​ummu-plateja-bez-pin-koda

узнаёшь тб этом, только когда теряешь карту

Странно как можно месяцами не интересоваться текущим балансом?

Відповісти
Підтримати
Kira Cantatore
anonymous 13.06.2019 22:21

А это ахриненно удобно. Меня больше возмущает то что часто спрашивают пинкод (Пользуюсь карточкой monobank)!?

Відповісти
Підтримати
Kira Cantatore
Iliya Isd Software Engineer 08.12.2016 22:54

Ещё немного про «мировой опыт». Живу в Аргентине, здесь вообще в принципе не существует какой-то связи между карточкой (счётом) и телефоном. Я даже не уверен, что банк знает мой номер. Вход в банкинг по номеру документа, секретному логину и паролю. На карте дневной лимит на снятие около 300 USD, железный, его по-моему вообще поменять нельзя. Это скорее минус, когда надо много налички, но зато бей-не бей хозяина — всё не снимешь. Всё это (кроме банкинга) справедливо также для Payoneer. Периодически возникает необходимость воспользоваться приватовской карточкой, то я каждый раз понимаю, какой же это гемор, а не защита — привязка к телефону.

Відповісти
Підтримати
Семен Колмаков Senior QA 04.12.2016 22:18

А вариант запаролить телефон автор не рассматривает? У меня автоблокировка через 30 секунд бездействия. То есть меня надо не просто ударит по голове, все забрать, и провернуть...но еще надо вложиться в 30 секунд :)

Відповісти
Підтримати
Gennady Dogaev full-stack web developer (freelance) 04.12.2016 23:35

Разве что пин на симку. Но кто сейчас это делает? Я перестал после того как перезагрузил телефон (не смарт еще, старый), и понял что пин от симки не помню.

Відповісти
Підтримати
Семен Колмаков
Gennady Dogaev full-stack web developer (freelance) 04.12.2016 02:21

Теперь пин можно восстановить просто из приложения :D
pbs.twimg.com/...CyylZ7hXAAIwuRj.jpg:large

Кто знает, оно хотя бы чем-то защишено? Паролем там хотя бы

Відповісти
Підтримати
Andriy Panas Формувальник ливарного цеху в Luxoft 03.12.2016 12:07

Коментарі на кшталт «ви самі винуваті, що вас згвалтували, бо одягнули міні-спідницю» відкидаємо одразу.

Звернемося до міжнародного досвіду.

В Польщі, де я проживаю, немає можливості змінити PIN код виключно через СМС в телефоні.

Натомість пропонується інших 3 способи
— через банкомат
— через Інтернет-банкінг
— через інфолінію банку

Банки також зі своєї сторони пропонують можливість покупки пакету страхування (~20 грн на місяць) якраз для таких випадків, якщо карту було вжито без нашої згоди.

Кількість транзакцій, на які власник карти не давав згоди, у 2014 році у Польщі становила 0.003% (36 498 раз) — це для оцінки ризику.

ps
Кожні 24 секунди в Польщі хтось губить або в нього викрадають банківську карту

Відповісти
Підтримати
Yarick developer 02.12.2016 15:54

У меня знакомый гопник просто бил, требуя назвать пинкод. :-)
Самое интересное — работало.

Відповісти
Підтримати
anonymous 02.12.2016 16:56

ПриватБанк должен предоставить каждому клиенту персонального дрона-защитника!

Відповісти
Підтримати
Yarick
Артур Мо 02.12.2016 09:51

Предвидел прямо таки этот повисший в воздухе вопрос и на прошлой неделе связывался с оператором что бы убрали у моего счета восстановление по смс, вместо чего использовать емейл,например, но такой возможности нет.
Современные банки со своей политикой (в т.ч. безопасности)как бы говорят нам «мы заботимся о вас»

Відповісти
Підтримати
anonymous 01.12.2016 21:29

На кожну ще більш розумну і досконалу систему природа знайде ще більш тупого користувача.

Відповісти
Підтримати
Yevhenii Soviak Senior QA Engineer – Luxoft 01.12.2016 17:46

О да,
Плакаться на ДОУ ума хватило а поставить пароль \ графический ключь на телефон не хватило...

Відповісти
Підтримати
Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 01.12.2016 20:19

Урок русского языка в грузинской школе:
— Дэти, запомнитэ, слова: вилька, тарелька пишутся без мягкого знака, а слова:
сол, фасол, вермишел — с мягким знаком.

Відповісти
Підтримати
Katherina Brilliantova
Nikola Utiuzhnikov Кодировщик 02.12.2016 05:58

И ос — это большой полосатый мух, а не то, вокруг чего вертится Зэмля.

Відповісти
Підтримати
Mike Gorchak
Aleksandr Shchur Java dev 03.12.2016 23:02

Харащо запомните ето, дети, патаму што панять ето нивазможьно!

Відповісти
Підтримати
Mike Gorchak
Angry Cat 01.12.2016 16:57

А если Вася иногда покупает в Интернете то вообще достаточно забрать или украсть карточку. Номера карты, due date, имя владельца и CVV (на обратной стороне) часто хватает чтобы расплатиться в онлайн магазинах.

Відповісти
Підтримати
Егор Папышев nikto 01.12.2016 17:48

Ну, давайте разбираться. Что подразумевается под «некоторыми ПС»? Платежная система это VISA, MasterCard — например. Мы же говорим в контексте оплаты банковской картой на сайте инет-магазина, а значит подразумеваем распространенные ПС. Какая платежная система из перечисленных и подобных относится к категории тех «некоторых», о которых вы говорите? Ладно. Суть моих слов в том, что во многих скажем так торговых точках в интернете, где можно расплатиться картой, достаточно ввести лишь номер карты, эксп. дейт и CVV/CVC. Всё. Вспомните: часто на форме, где вы заполняете данные карты, даже отсутствуют какие-либо другие поля (в т.ч. фамилия-имя, эмбоссированные на карте). Вы, конечно, можете заполнять (и скорее всего заполняете) такие данные в другой «анкете», когда оформляете покупку товара, но непосредственно к процедуре оплаты картой они не имеют отношения, и при оплате не проверяются. Другое дело, сейчас в точках интернет-торговли все чаще встречаются дополнительные проверки на оплату картой, как то лукап код или 3D-секьюр. Но возможностей потратить денег с чужой карты, зная только ее номер, эксп. дейт и CVV/CVC очень много.

Відповісти
Підтримати
anonymous
Егор Папышев nikto 01.12.2016 18:58

воу, чо так резко то?)))
Я не написал противоречий, равно как и написанное вами не отменяет правильность написанного мной. Я писал в конкретном контексте по конкретному, распространенному кейсу. Большими буквами тоже не нужно выделять, спасибо, я вижу не сто процентов но с монитора прочитать обычный текст могу)

Відповісти
Підтримати
anonymous
Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 01.12.2016 17:55

Проверяется, если у продавца есть такое желание, как и региональные данные, включая домашний адрес. Другое дело, что обязательное требование такого может отсечь 2/3 владельцев карт, но то такое...

Відповісти
Підтримати
Егор Папышев
Котэ гуляющее само по себэ 01.12.2016 19:12

Очень круто ps store проверял, когда с интернет картой приватбанка делал около 5 покупок, внося Name on the card поле: CatWhoWalksBy Himself.
Ну а город и регион вообще тот, что первый в дропдауне, ибо лень.

Відповісти
Підтримати
anonymous
Котэ гуляющее само по себэ 01.12.2016 19:23

Ну это очень круто — покупать с американской карты с украинским биллингом в украинском или американском сторе.
Тут правильного ответа нет.
Хотя есть, украинский стор и одноразовые виртуалки привата.

Відповісти
Підтримати
anonymous
Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 01.12.2016 19:19
когда с интернет картой
Это и есть ответ. Там тип стоит неэмбоссированная карта, поэтому вводить можно что угодно.
Відповісти
Підтримати
Котэ гуляющее само по себэ
Bogdan Parhomchuk - в + 02.12.2016 21:09
Проверяется, если у продавца есть такое желание
Разве на неименных (коими пестрит тот же приват) проверяется? Там вроде и NO NAME в качестве фио проходит, не?
Відповісти
Підтримати
Mike Gorchak
Angry Cat 01.12.2016 19:25

Так какая разница, оно на карте пробито же. А если нет тогда карта не именная и скорее всего пройдет платеж без имени.

Відповісти
Підтримати
Егор Папышев
Yevhenii Soviak Senior QA Engineer – Luxoft 01.12.2016 17:47

На этот случай и есть лимиты для интернет оплаты — ставишь 0 покаместь не надумаешь что-то оплачивать, после оплаты возвращаешь обратно в 0 — проблема решена.

Відповісти
Підтримати
Angry Cat
HorAV 01.12.2016 17:49

Приват присылает в СМС код подтверждения операции, без его ввода в подтверждение он не пропустит платеж. У меня так при оплате интертелекому за инет с вводом всех кодов с оборота карточки происходит. Ну и существуют лимиты, поставил — проплатил — снизил, либо отдельная карточка, даже счет это сейчас, пластик не дают. Другая ситуация, полетел стартер, я на нулях, начинаю в панике по карточкам и счетам собирать крохи на одну карточку, оплата с которой мне будет минимальной по обслуживанию, то есть суммы проводились на пару сотен. Лечу в магазин. Звонок с Привата, мы заблокировали все Ваши операции (повторюсь операции на пару сотен между моими же счетами, общая сумма до тысячи), поясните / подтвердите кто Вы и зачем таким страдали.

Відповісти
Підтримати
Angry Cat
Svetlana X 02.12.2016 09:26

не всегда. в портмоне мне не приходит никогда.

Відповісти
Підтримати
HorAV
Dmitriy Mozgovoy JavaScript / NodeJS Developer 01.12.2016 19:06

Часто, но тот же приват просит код подтверждения транзакции интернет платежа с смс... так что этого мало... нужен телефон/подделанная сим

Відповісти
Підтримати
Angry Cat
Valentin Yuryev нажимаю кнопочки 01.12.2016 16:28

А зачем носить с собой дырявый телефон, с которого любой гопник без проблем сможет отправить СМС? Что за дурость?

Відповісти
Підтримати
HorAV 01.12.2016 15:47

И добью уже таким. Можно применить как к целеустремленности хотящего отобрать, так и к целеустремленности того, кто защищается. Главное не полагаться на то, что кто-то кому-то должен и обязан.

Как хотите, но самый целеустремленный человек — это человек, который очень хочет в туалет.

Все преграды кажутся несущественными. Кроме Цели. Согласитесь, смешно слышать фразы типа:

— я описался, потому что не было времени сходить в туалет — я был слишком уставший...
— да, конечно — завтра схожу))
— я описался — потому что потерял надежду...
— я не верил что смогу добежать...
— ну конечно, он то добежал. У него ноги вон какие длинные...
— я слишком глуп чтобы это сделать...
— я уже 5 раз описывался. У меня никогда не получится добежать...
— это явно не для меня.
— я постучался в туалет — но мне не открыли...
— мне не хватило мотивации...
— у меня была депрессия...
— у меня нет денег, я не могу себе этого позволить!....

Відповісти
Підтримати
HorAV 01.12.2016 15:38

Скандал в Эрмитаже. Злоумышленники воровали произведения искусств без бахил.

Відповісти
Підтримати
HorAV 01.12.2016 15:22

Вчера группа злоумышленников проникла в золото-валютный фонд Украины. Взломав шпингалет, они проникли в помещение и, распихав весь запас по карманам, удалились в неизвестном направлении

Відповісти
Підтримати
Oleg Kariakin Senior Java Developer 01.12.2016 15:23

Сначала смешно, потом прочитал ваш тайтл — уже не смешно.

Відповісти
Підтримати
HorAV
HorAV 02.12.2016 09:46

Мне не смешно с другого — отвязка з/п госслужащего от минималки и привязка его к прожиточному минимуму + конкурсы с улицы со сдачей тестов. Бомж с улицы и хорошей памятью на тесты на участок, где и один платеж может быть поболее миллиарда, а суточные обороты сотнями миллионов, это та взрощенная, светлая, продвинутая, всесторонне развитая и образованная личность, что госсударство хочет видеть исполнителем своих задач. У меня на эти должности даже кассиры с супермаркетов не хотят идти, т.к. з/п меньше. А продвигать свои выращенные кадры так облегчили, что прям как пирожки их печи. Как отобранным знания этих тестов будут помагать в критических ситуациях на технических должностях, когда решения принимаются моментально и они должны быть верны и выверены, а это наработка навыков и практика, а не конкурс набора с улицы, ума не приложу.

Відповісти
Підтримати
Oleg Kariakin
HorAV 02.12.2016 09:49

Я к тому, что занизив пристижность госслужбы ниже плинтуса, анекдоты станут реальностью. Как с заводов начнут нести то, с чем кто работает по долгу службы, чтоб восполнить и дополнить уровень з/п.

Відповісти
Підтримати
HorAV
Konstantin Strukov 02.12.2016 13:36
Бомж с улицы и хорошей памятью на тесты на участок, где и один платеж может быть поболее миллиарда
Сдается мне, что вы сильно преувеличиваете. Тесты тестами (как один из этапов отбора), но квалификационные требования никто не отменял. Наверняка были они и в вашем случае, и предполагали, как минимум, некоторый уровень образования и опыта. А все остальное решается правильным обучением.
Я к тому, что занизив пристижность госслужбы ниже плинтуса
Эммм... она и так ниже плинтуса. Репутация госслужбы в частном секторе — ты или гол как сокол, или взяточник. Вот для того, чтобы эту ситуацию как-то поменять и нужна свежая кровь, нужны открытые конкурсы с прозрачными правилами. Но, правда, это условия необходимые, но недостаточные. Также еще нужно поднять зарплату госслужащих но пристойного уровня, и «публично казнить» за коррупцию. Вот тогда лет через 10 можно будет говорить о престижности госслужбы, не держа при этом в кармане фигу и не подразумевая при этом «возможности прикупить кайен с первой взятки»...
Відповісти
Підтримати
HorAV
Mori Arti 01.12.2016 15:26

По горячим следам они были задержаны в близлежащем ломбарде. Куда владельцем был вызван наряд полиции, дабы пресечь попытку злоумышленников реализовать фальшивое золото.

Відповісти
Підтримати
HorAV
Oleg Kariakin Senior Java Developer 01.12.2016 15:29
попытку злоумышленников реализовать фальшивое золото.
 31 грамм
Відповісти
Підтримати
Mori Arti
HorAV 01.12.2016 15:33

Как говорят в Одессе — не хочу вас расстраивать, но у меня всё хорошо!
Профиль: SAMSUNG GT-E1080W. Голдовские карточки привата пустые, кредитные лимиты по просьбе минимальны.

Відповісти
Підтримати
HorAV
Gennady Dogaev full-stack web developer (freelance) 01.12.2016 15:08
Чтобы сбросить пароль в приват24 нужна карточка, телефон и ИНН
если вы носите с собой карточки, телефон и паспорт
Паспорт не ИНН же. И если уж злоумышленники подобрались к вам физически — то могут и угрозы/пытки применить, и пин сами скажете. Тут уже нужно беспокоиться о возможности их нейтрализации (с чем у нас в стране туго в связи с отсутствием нормальной судебной практики и легального оружия).

Гораздо хуже то, что в банкоматах есть опция «забыл карту», и есть еще какой-то способ мошенничества через liqpay. То есть есть возможность ограбить человека, отобрав только телефон (а вернее, номер), и это уже не раз делали.

И один из немногих способов защиты — привязывать карточку к неизвестному посторонним номеру телефона, и желательно не носить его с собой.

Відповісти
Підтримати
Andriy Maletsky 01.12.2016 21:02
И если уж злоумышленники подобрались к вам физически — то могут и угрозы/пытки применить, и пин сами скажете.
ну против терморектального криптоанализа сложно защититься. Но система должна быть защищена от атак попроще. Угрозы и пытки — это сложно, украсть телефон/кошелек и отрубить палец намного легче, и это должно предусматриваться.
Відповісти
Підтримати
Gennady Dogaev
Yaroslav Ulanovych Scala Developer в Remote 02.12.2016 10:44
ну против терморектального криптоанализа сложно защититься
Называете особый пин, после которого баланс на карточке выглядит близким нулю. Восстановление при личном посещении отделения. Опционально вызывается наряд к месту ввода.
Відповісти
Підтримати
Andriy Maletsky
Mori Arti 02.12.2016 11:47

Это в каком банке такое волшебство происходит?

Відповісти
Підтримати
Yaroslav Ulanovych
Yaroslav Ulanovych Scala Developer в Remote 02.12.2016 12:45

Мне о таких неизвестно, к сожалению.

Відповісти
Підтримати
Mori Arti
Andriy Maletsky 02.12.2016 13:50

в интернетах когда-то ходил рассказ, что в каком-то банке для этого надо было ввести пароль в обратном порядке.

А вообще это довольно популярный подход в криптографии — дать юзеру несколько ключей, которые будут давать разные права. Оказывается, что криптоанализ паяльником — это почти что научный термин)) даже статья в википедии есть, с примерами противодействия

Відповісти
Підтримати
Mori Arti
Gennady Dogaev full-stack web developer (freelance) 02.12.2016 16:42

В интернетах ходит байка что это в любом банкомате такое любого банка. Но я уверен что это только байка. Кстати, пин может быть симметричным. 1331 например.

Відповісти
Підтримати
Andriy Maletsky
Yaroslav Ulanovych Scala Developer в Remote 02.12.2016 16:52

Байка-то байка, но я не вижу никаких технических сложностей в ее реализации. Было бы желание. Просто большинству пофиг, судя по отписавшимся в топике.

Відповісти
Підтримати
Gennady Dogaev
Gennady Dogaev full-stack web developer (freelance) 02.12.2016 18:17
Байка-то байка, но я не вижу никаких технических сложностей в ее реализации.
Ну ни вы, ни я, софт для банкоматов не разрабатываем. Неизвестно какие там сложности есть/нет. Алгоритм с первого взгляда простой, да. Но раз даже более простые меры принимать банк не хочет, вроде отключения возможности восстановить пин/снять деньги по смс, то ждать такой серьезной разработки не стоит.
Просто большинству пофиг
Просто приспособиться проще, чем изменить.
Відповісти
Підтримати
Yaroslav Ulanovych
anonymous 02.12.2016 21:52

А я бачу. Людині властиво помилятися і вона може випадково клацнути іншу цифру — а бувають ситуації, коли це може призвести до не дуже гарних подій. Тому банк не буде іти на таке.

Відповісти
Підтримати
Yaroslav Ulanovych
Yaroslav Ulanovych Scala Developer в Remote 03.12.2016 00:24

Не совсем понял, вы говорите о возможности по ошибке ввести вместо правильного пина пин для гопников?

Відповісти
Підтримати
anonymous
Gennady Dogaev full-stack web developer (freelance) 03.12.2016 02:35

Да, и он в-принципе прав. Попутать пины можно. Тут есть 2 возможности: или забудешь пин для гопников и в нужный момент не введешь (потому что запоминается то что чаще всего повторяешь/вводишь), или попутаешь. Конечно можно ограничиться только неверным балансом и невозможностью снять деньги.

Только есть еще момент — если о фиче будут знать клиенты банка, то гопники скорей всего будут знать тоже. И бить пока не скажешь правильный код. А у кого денег на карте правда нет — те зря избиты будут.

Так что в общем-то от гопников должна защищать полиция, меры предосторожности (не ходить по подворотням) и (возможно) легальное оружие.

Відповісти
Підтримати
Yaroslav Ulanovych
Yaroslav Ulanovych Scala Developer в Remote 03.12.2016 22:57
Попутать пины можно
Можно запоминать только правильный пин, а тревожный выводить функцией от основного, например инкремент цифр. Тогда путать нечего будет.
И бить пока не скажешь правильный код
А как они узнают правильный ли код им назвали? Если они введут тревожный пин и догадаются об этом, то от правильного толку уже все равно не будет — вывод из тревожного режима только при личном посещении.
Відповісти
Підтримати
Gennady Dogaev
Yaroslav Ulanovych Scala Developer в Remote 02.12.2016 10:43
то могут и угрозы/пытки применить
Называете особый пин, после которого баланс на карточке выглядит близким нулю. Восстановление при личном посещении отделения. Опционально вызывается наряд к месту ввода.
Відповісти
Підтримати
Gennady Dogaev
Tanya B 10.04.2019 14:11

не получится подтвердить платеж без телефона под рукой

Відповісти
Підтримати
Gennady Dogaev
Александр Шевченко Java developer 01.12.2016 15:06

Есть много проще способов..

Відповісти
Підтримати
Дмитрий Мирошник Lead QA Automation Engineer в Papaya Global 01.12.2016 14:40
Злоумышленники ударили Васю по голове, забрали кошелек и телефон.
Та не, всё ещё проще: вытащили барсетку в метро (из машины), в которой лежали кошелёк и телефон. Затем сбросили пароль, нашли бомжа Петю, за бутыль предложили ему достать бабло из ближайшего банкомата. Или просто сняли бабло сами в шапке с прорезями на лице. Дыра просто шикарная. И, главное, фиг он потом докажет, что не снимал деньги. Поскольку телефона у Васи не осталось, вовремя заблокировать карточку он, скорее всего, не успеет.
Любителям рассказывать про залочку пальцем и прочие попытки заткнуть дыру подручными средствами: самый элементарный вариант — вытянуть симку, поставить в свой телефон и произвести все необходимые действия с него.
Да, разумеется, можно таскать телефон и кошелёк в разных карманах / барсетках, можно носить с собой 3 телефона на случай кражи карточки, чтобы хоть с 1-го позвонить и т.д... А можно признать, что бенебанк лоханулся в очередной раз. И сменить его на более адекватный.
Відповісти
Підтримати
Егор Папышев nikto 01.12.2016 14:48

срочно в номер! Обнаруженная критическая уязвимость в сервисах привата взорвала соцсети!
Митигейшн меры: запретить шапки с прорезями на лице, бутылки, обязать клиентов банка ходить в кевларовых касках, иначе — liability shift.

бенебанк лоханулся в очередной раз. И сменить его на более адекватный

В ОЧЕРЕДНОЙ РАЗ!! Та сколько ж можно...
вытащили барсетку в метро (из машины)
Машина в метро... окей. Это недокументированная фича. Провтыкали.
Відповісти
Підтримати
Дмитрий Мирошник
Дмитрий Мирошник Lead QA Automation Engineer в Papaya Global 01.12.2016 15:13

Не забудьте бомжей запретить. А также сим-карты. Из-за них всё зло. А бенебанк — он не виноватый.

Відповісти
Підтримати
Егор Папышев
Vladimir Chernetsov Python Developer 01.12.2016 15:52

Будет залочка пальцем на телефоне — останетесь без пальца.

Відповісти
Підтримати
Дмитрий Мирошник
Євген Лесько Competency manager в ELEKS 01.12.2016 14:20

ИМХО BNY , Zürcher Kantonalbank ...
P.S. С.Д.Довлатов, «Компромисс».
— Надо бы пленку купить, — сказал Жбанков.
Зашли в уютный канцелярский магазин. Продавец заваривал кофе на электроплитке. Его типично эстонский, вязаный жилет был украшен металлическими пуговицами.
— Микрат-четыре есть? — спросил Жбанков.
Эстонец покачал головой.
— Начинается...
Я поинтересовался:
— А где ближайший магазин, в котором есть четвертый номер?
— В Хельсинки, — ответил продавец без улыбки.

Відповісти
Підтримати
Олексій Пєніє 01.12.2016 14:12

А насчёт безопасности по SMS... это вообще открытая дверь для современных Андроид-телефонов. Получить доступ к SMS можно просто подсунув юзеру приложение через рекламмные каналы, которое среди прочего попросит полномочий к SMS и звонкам. Очень небольшой процент задумается, а зачем игре в косынку такие полномочия. Но способа ПРОВЕРИТЬ или способа ПЕРЕХВАТИТЬ эти вызовы, доступного простому смертному — я не знаю. То есть чтобы официально полномочия вроде как даны, но если попытаться воспользоваться — будет программый перехват, и спросит «а действительно ли надо».

А у скольких рутованные аппараты, а мультиюзера Андроид за столько лет так и не научился поддерживать...

А сколько олухов царя небесного поставили себе аппликуху Приват24, при этом дав паре десятков других аппликух системное право показывать контент поверх всех окон (то есть прозрачное окошко, и право скринить чужие)?

В том числе и по этой причине у меня обычный телефон, умеющий звонить и всё.

Відповісти
Підтримати
Олексій Пєніє 01.12.2016 14:01

Зачем такие сложности. С помощью телефона можно войти в Приват-24, и там уже столько интересного... карточка не нужна, пин-код к ней тоже. Только телефон.

Понадобились тысячи инцидентов «восстановления» сим-карты через оператора связи, прежде чем вставили костыль — сотрудничество с опсосами, которые уведомляют о смене карты. И клиент что-то около месяца не может пользоваться банкингом, даже если карту заменил он сам.

Мало того, в банке вообще нет способа быстрой блокировки или экстренного доступа, например по супер-паролю. Если к примеру сотрудник банка (а текучка кадров там некислая, зайти «поработать» в колл-центре может кто угодно) передал нужные данные третьим лицам... ничего не сможешь сделать. Равно как и если подключил какие-то «услуги».

Кстати, телефонные мошенники прекрасно имитируют оператора колл-центра. Догадайтесь, как они этому научились. Банк никогда про это не скажет, само собой.

Відповісти
Підтримати
Егор Папышев nikto 01.12.2016 14:04

не обязательно работать в банке, чтоб прекрасно имитировать оператора КЦ. Обычная социнженерия, как она есть. Она должна быть качественной, чтоб работать.

Відповісти
Підтримати
Олексій Пєніє
Олексій Пєніє 01.12.2016 14:16

Не обязательно. Но когда банк нанимал операторов колл-центра, а потом 1-3 месяца человек пахал аки лошадка, и его увольняют без зарплаты «вы нам не подходите» просто потому что его показатели чуть ниже в соревновании с себе подобными — угадай с одного раза откликнется ли он на предложение поработать в «финансовой компании»? Зачастую это молодняк, место работы было первым-вторым, то есть найти среди такого контингента себе работничка можно аж бегом.

Иначе говоря, банк сам настажировал кадровый резерв для мошенников.

Відповісти
Підтримати
Егор Папышев
Егор Папышев nikto 01.12.2016 14:26

но статистика показывает, что чаще такими мошенниками оказываются зеки, находящиеся в МЛС. Они умеют красиво говорить и волна такого телефонного мошенничества из МЛС была довольно большой в недавнее время. Да и не так просто рядовому человеку решиться на преступление, а ведь он осознаёт, что это преступление. Я бы все-таки не грешил на «обиженных профессиональных операторов КЦ» вставших на тёмную сторону и заговорщицкое молчание банков :) Сценарий звонка довольно простой, его может реализовать любой, кто умеет разговаривать. Кстати, я согласен по трем первым абзацам вашего поста, — всё верно.

Відповісти
Підтримати
Олексій Пєніє
Олексій Пєніє 01.12.2016 16:02

Разумеется, организаторы — это мошенники. Но нередки случаи, когда персонал на обзвон просто нанимают. А насчёт зэков в местах лишения свободы — ОРГАНИЗОВЫВАЮТ это снаружи мест.

Но вот сами процедуры, алгоритмы — почему-то до идентичности совпадают, в деталях. Я более чем уверен, что организаторы там работали, и есть вероятность что там есть свои люди. Настолько коллцентр слабое звено этого банка. Я бы сказал, как бы удачнее выразиться, «точка опоры».

Впрочем, в других украинских банках не лучше.

Відповісти
Підтримати
Егор Папышев
Егор Папышев nikto 01.12.2016 16:06

кроме КЦ доступ к информации БПК клиентов имеют еще множество других подразделений банка. Начиная от розницы и заканчивая процессингом. Человеческий фактор всегда одно из самых слабых мест в безопасности.

Відповісти
Підтримати
Олексій Пєніє
Sergey Malenko Java Developer/Team Lead - AB Soft 01.12.2016 15:15
Зачем такие сложности. С помощью телефона можно войти в Приват-24
Зачем такие сложности — в Приват-24 можно войти и без телефона. Ты вообще хоть раз в своей жизни пользовался Android Privat24? Если да — когда крайний раз? :)
Відповісти
Підтримати
Олексій Пєніє
Олексій Пєніє 01.12.2016 16:04

Простетировал, удостоверился в финансовой опасности, снёс к ъе

Відповісти
Підтримати
Sergey Malenko
Егор Папышев nikto 01.12.2016 21:41

так у Привата есть баг баунти программа, реально работающая. Выкатил бы им результаты своего тестирования, там до $ 1.5К платят за каждую уязвимость. Чё не сделал?

Відповісти
Підтримати
Олексій Пєніє
Gennady Dogaev full-stack web developer (freelance) 01.12.2016 21:59

Они ж не заплатят за уязвимости, которые они сами сознательно ввели и считают фичами

Відповісти
Підтримати
Егор Папышев
Олексій Пєніє 01.12.2016 23:09

Это касается маленьких технологических дырочек. А вот огромные дыры алгоритмов, размером с гаражные ворота — как тут правильно сказали, считают либо фичами, либо «ненужными» фичами типа давать пользователю ОТКЛЮЧИТЬ то что он считает небезопасным.

Простой пример — снятие денег без карты. Сколько уже было так украдено.... но тем не менее, ЛИМИТ СУММЫ так и не ввели. Например, запретить вообще снимать без карты кредитные средства очень не помешала бы такая настройка.

Відповісти
Підтримати
Егор Папышев
Mikhail Boiko SE в NVIDIA 01.12.2016 13:31
Уважаемые коллеги, просьба посоветовать более безопасный банк.
Трехлитровый могу посоветовать, как самый популярный
Відповісти
Підтримати
Andrii Simakov BSE 01.12.2016 13:04

Последнее предложение просто замечательное. Автор бы еще другую страну попросил посоветовать.

Відповісти
Підтримати
Gennady Dogaev full-stack web developer (freelance) 01.12.2016 15:14
другую страну
Да, так даже лучше
Відповісти
Підтримати
Andrii Simakov
A G 01.12.2016 13:01

А зачем гопникам менять пароль на Привате? Засунуть вам паяльник в ж*пу и вы не только скажите свой пароль от Приват24, но и сообщите пароли от замка на велосипеде, и лично покажете где заначка лежит :) Причем тут банк? А хрен его знает, просто посоветуйте более безопасный ...

Відповісти
Підтримати
Andrii Batyiev Senior Expert C++ Developer 01.12.2016 13:08

С гопниками встречались многие, но кто видал паяльник в своей ж*пе?..

Відповісти
Підтримати
A G
A G 01.12.2016 13:11

Не думаю, что паяльник будет видно, кстати. А по существу, как часто эти самые гопники имеют достаточно мозга и желания, чтобы менять пароли в Приват24?

Відповісти
Підтримати
Andrii Batyiev
Дмитрий Мирошник Lead QA Automation Engineer в Papaya Global 01.12.2016 15:21

Я так и представляю себе этих гопников с УПСом, чтобы паяльник на улице греть :D

Відповісти
Підтримати
A G
Дмитрий Мирошник Lead QA Automation Engineer в Papaya Global 01.12.2016 15:34

Когда увидите гопника в подворотне с газовым паяльником — пришлите фотку, плз.

Відповісти
Підтримати
Mori Arti
Mori Arti 01.12.2016 15:56

Я аноним и я не вышлю вам свою фотку!

З.ы. размер обычного газового паяльника, примерно как большая отвертка.

Відповісти
Підтримати
Дмитрий Мирошник
Oleg Kariakin Senior Java Developer 01.12.2016 15:52

на морозе можно водой холодной обливать поциента и смотреть как замерзает, эффект не хуже паяльника. да мало ли способов существует.

Відповісти
Підтримати
Дмитрий Мирошник
Paul Loyanich CTO в CoreDev 02.12.2016 11:25

DOU образовательный.
Друг интересуется, а какие еще способы есть?

Відповісти
Підтримати
Oleg Kariakin
Oleg Kariakin Senior Java Developer 02.12.2016 11:39

У венеролога:
— Вы знаете, у одного моего друга, кажется, что-то не в порядке...
— Снимайте тогда штаны, показывайте вашего друга.

Відповісти
Підтримати
Paul Loyanich
Yaroslav Ulanovych Scala Developer в Remote 02.12.2016 10:46
Засунуть вам паяльник в ж*пу
Называете особый пин, после которого баланс на карточке выглядит близким нулю. Восстановление при личном посещении отделения. Опционально вызывается наряд к месту ввода.
Відповісти
Підтримати
A G
A G 02.12.2016 11:08

Кстати, я видел сейфы с таким приколом ... но вот банков (и в укр. и зарубежом) еще не встречал (кроме сказок бродящих по сети о наборе своего PIN «в обратном порядке»). Интересно, почему?

Відповісти
Підтримати
Yaroslav Ulanovych
A G 02.12.2016 11:10

Но с сейфом все может трагически закончиться, если господа гопники (хотя если добрались до сейфа, то они уже не гопники, а серьезные товарищи) разочаруются в открытии сейфа ... с банком все по-идее должно быть проще — т.к. время проверки большее и есть вероятность таки задержать, но почему-то такой практики нет ...

Відповісти
Підтримати
A G
Yaroslav Ulanovych Scala Developer в Remote 02.12.2016 12:44

Видимо нет выгоды реализовывать подобное.

Відповісти
Підтримати
A G
Yaroslav Ulanovych Scala Developer в Remote 02.12.2016 13:08

Да пес с ним с задержанием-то, деньги сохранить уже достаточно.

Відповісти
Підтримати
A G
Dmitrii Khrysev Senior PHP Software Engineer/TL/Security Engineer в Oro 01.12.2016 12:54

В тему о безопасности Приват24. С недавних пор появился переключатель для перехода из Приват24 для физ. лиц в Приват24 для бизнеса. С этим «нововведением» разграничение прав доступа, разные пароли, настройки безопасности теряют любой смысл. Служба поддержки отключать данную опцию отказывается. Чем чревато — получив доступ к Приват24 для физ лиц автоматически дается доступ в приват24 для бизнеса.
И бонусом — сертификат для подписи транзакций в приват24 для бизнеса можно получить из веб интерфейса имея доступ к СМС.

Блокировка телефона — выход? Абсолютно нет. Начиная с того, что некоторые приложения синхронизируют СМС в облако и перехватив доступ к аккаунту в облаке можно получить доступ к СМС, и заканчивая восстановлением номера у оператора мобильной связи.

Відповісти
Підтримати
Егор Папышев nikto 01.12.2016 13:33
Блокировка телефона — выход? Абсолютно нет. Начиная с того, что некоторые приложения синхронизируют СМС в облако и перехватив доступ к аккаунту в облаке можно получить доступ к СМС, и заканчивая восстановлением номера у оператора мобильной связи.
... крутоват сценарий. А восстановление номера у оператора — разве эту уязвимость не закрыли более серьезными проверками и идентификацией, нежели просто «скажите номера трех последних звонков»?
Відповісти
Підтримати
Dmitrii Khrysev
Evgeniy Labunskiy Head of Agile Practices в PandaDoc 02.12.2016 18:12

Нет, авторизировавшись в П24 для физ вы не авторизированны в П24 для Бизнеса.

Відповісти
Підтримати
Dmitrii Khrysev
Dmitrii Khrysev Senior PHP Software Engineer/TL/Security Engineer в Oro 02.12.2016 18:14

Есть переключатель в верхнем правом углу, который проводит аутентификацию в П24 для бизнеса и редиректит на него

Відповісти
Підтримати
Evgeniy Labunskiy
Егор Папышев nikto 01.12.2016 12:52

Ну, здрасте, а банк то тут причем? Невозможно обезопасить всё со стороны клиента. Предусмотреть все ситуации и реализовать универсальное решение, которое при этом не конфликтовало бы с механизмом предоставляемых услуг — нереально.

Відповісти
Підтримати
Yaroslav Ulanovych Scala Developer в Remote 01.12.2016 18:12

Сделать сброс пинов и паролей только при личном посещении отделения банка.

Відповісти
Підтримати
Егор Папышев
Vladyslav Lubenskyi Java Lead at JxBrowser в TeamDev 02.12.2016 00:48

И сделать адом восстановление пинов и паролей ночью, в аэропорту, на вокзале, в срочных ситуациях.

Відповісти
Підтримати
Yaroslav Ulanovych
Yaroslav Ulanovych Scala Developer в Remote 02.12.2016 01:23

Да пожалуйста, пусть каждый выбирает сам. Я лишь хочу чтобы возможность выбора была в принципе. Я пин ввожу почти каждый день, его так просто не забудешь.

Відповісти
Підтримати
Vladyslav Lubenskyi
Roman L 01.12.2016 12:38

чтоб с карточки привата забрать деньги не нужно менять пин, и даже карточка не нужна. достаточно чтобы телефон был

Відповісти
Підтримати
Viktor Starikov DB/BI Developer, Visiquate Inc. 01.12.2016 13:30

Сцуко, услуги «снять деньги без карты» и «говнобанкинг по телефону» просто эталон секьюрности!!!

Відповісти
Підтримати
Roman L
anonymous 01.12.2016 12:35

А если телефон залочен графическим ключом или пин-кодом, а для вынимания симки у пацанов нет инструмента и своего телефона?
Все это очень условная хрень, тем более, что суд обязал банки возвращать украденные у клиентов средства.

Відповісти
Підтримати
Егор Папышев nikto 01.12.2016 14:16
тем более, что суд обязал банки возвращать украденные у клиентов средства
а можно хоть пару кейсов, когда чего кому вот так вот вернули?)) Из тысяч ежемесячных случаев кражи денег с картсчетов клиентов украинских банков.
Відповісти
Підтримати
anonymous
Igor Krasilich Dev в Ciklum 01.12.2016 16:28

Почти через год, и за вычетом «услуг по раследованию» но вернули после письменного заявления. Правда не с Приватом дело было...

Відповісти
Підтримати
Егор Папышев
Nadia Labyk .Net developer в Waverley 02.12.2016 17:42

Мне Приват вернул года два назад почти 8 тысяч, украденных с карты.

Відповісти
Підтримати
Егор Папышев
Dmitriy Donchenko 01.12.2016 12:21

Просто купите телефон со сканером отпечатков пальцев. :-)

Відповісти
Підтримати
Дeнис Кoнoплин JavaScript developer в Exadel 01.12.2016 12:27

так Вася ж без сознания, пальцы доступны)

Відповісти
Підтримати
Dmitriy Donchenko
Dmitriy Donchenko 01.12.2016 12:35

Да я ниже прочел уже, ну ничего можно просто графический пароль, тогда придется Васе ректотермальный криптоанализ делать, этот способ любой пинкод от любой карточки узнать позволяет. :)

Відповісти
Підтримати
Дeнис Кoнoплин
Serg Mois 01.12.2016 12:19

Ярослав, ПриватБанк так же позволяет использовать Вашу прямую кишку в целях сексуальных удовлетворений, опять же после сценария с «гопник ударил по голове», но Вы почему-то до сих пор ходите с открытой легкодоступной дыркой каждый день, доступится до которой достаточно всеголишь ударить Вас по голове. О дырах в безопастности банка Вы подумали, но почему не подумали о дырах в вашей безопасности?

Відповісти
Підтримати
Viktor Starikov DB/BI Developer, Visiquate Inc. 01.12.2016 13:33
О дырах в безопастности банка Вы подумали
Если бы превед-банк хотя бы по-маленьку их устранял, то в Вашим словах было бы рациаональное зерно... А так эти м...даки сидят и не парятся себе по поводу того, сколько доверчивых и не совсем подкованых в кибербезопасности граждан влетают в копеечку из-за их «услуг».
Відповісти
Підтримати
Serg Mois
Serg Mois 01.12.2016 13:58

Не стоит усложнять систему, увеличивая количества бюрократии, из за неграмотности и глупости люмпенства. Любой технологический прорыв можно сровнять с землей , обычным исключением с «Ударить по голове». Проблемы с гопниками — это вопросы полиции, комунальных предприятий (которые не обеспечили освещение), глупости самого человека ( который себе позволил попасть в эту ситуацию) и многих других. Но автор винит во всем банк. Глупости.

Відповісти
Підтримати
Viktor Starikov
Gennady Dogaev full-stack web developer (freelance) 01.12.2016 15:30
Не стоит усложнять систему
В случае привата — систему сначала упростили, введя возможности получить деньги без карты, что свело двухфакторную авторизацию на нет даже без гопников. А теперь не знают что с этим делать.

С гопниками понятно что банк ничего не может сделать. Но убрать всякие «деньги без карты», убрать возможность сброса пин-кода по смс — это реальные шаги, которые возможно предпринять.

Посмотрите на те же вебмани (keeper classic). Во-первых, для установки на новый комп нужна активация. Во-вторых, есть ограничение по IP адресам. В третьих, для оплаты двухфакторная авторизация через смс/приложение. Приложение для двухфакторной авторизации можно защитить пин-кодом, отдельным. Чтобы отнять у человека вебмани, проще применить физические меры воздействия (ну или какое мошенничество), чем все это взломать.

Более того, NCSoft игровые аккаунты лучше защищает, чем приват деньги. Там можно включить двухфакторную авторизацию на сайте, проверяется IP и для входа в игру обязателен пин-код. Из-за последнего просто взломать почту может быть уже недостаточно.

Відповісти
Підтримати
Serg Mois
Александр Шевченко Java developer 01.12.2016 17:28

Все просто, идет голосование баблом. Кто лучше делает, тот и при бабле. Не нравится? пользуйтесь другим банком. Пусть обеднеет Коломойский без вас и без и автора.

Альтернатив то нет особо, а значит приват идет правильным курсом.

Відповісти
Підтримати
Gennady Dogaev
Gennady Dogaev full-stack web developer (freelance) 01.12.2016 17:33
Альтернатив то нет особо
Поэтому не пользоваться не особо получается. Тем не менее, это не значит что не нужно называть дурацкие решения дурацкими. А сломать двухфакторную авторизацию убиранием одного из факторов (карты в данном случае) — дурацкое решение.
Відповісти
Підтримати
Александр Шевченко
Gennady Dogaev full-stack web developer (freelance) 01.12.2016 17:47

В банкомате она двухфакторная, потому что нужно всунуть карту и ввести пин. А возможность снять без карты свела всё только к телефону. Который вообще является не очень защищенным устройством. Еще существует какое-то мошенничество с liqpay. И там тоже не нужна карта. Это бред.

Кнопка «Забыли карту?» в банкомате безопасного банка должна показывать на весь экран надпись «А голову ты дома не забыл?». А не предлагать ввести номер телефона и код из смс.

Відповісти
Підтримати
anonymous
Gennady Dogaev full-stack web developer (freelance) 01.12.2016 18:10
Для меня это «однофакторная», т.к. требует только пинкод. А карта это типа «логина» в системе.
Да ну? Это не отдельное электронное устройство, не? И прям любой может достать из кармана именно вашу карту?

Для авторизации может использоваться фактор знания чего-либо (пин-код или логин/пароль), либо фактор наличия чего либо (магнитной карты или флешки с файлом), либо биометрия. Когда 2 вида факторов используются вместе — это двухфакторная авторизация

Відповісти
Підтримати
anonymous
Familiar Stranger 02.12.2016 02:39
проверяется IP
Как насчет пролистать приват24 web и посмотреть, что предлагают в разделе «Смена персональных данных/Доступ с IP-адресов»? там даже инструкция есть. Видимо вы просто не знаете с чем имеете дело.
Відповісти
Підтримати
Gennady Dogaev
Gennady Dogaev full-stack web developer (freelance) 02.12.2016 03:18

Не знал, очень интересно.

Я лично проверку ip в п24 включать не буду, потому что эта меры защиты очень неудобна (например у меня провайдер несколько подсетей имеет, задалбывает), а денег я много не храню на карте.

Но хорошо, тогда вопрос: а почему эту настройку нужно пролистывать? NCSoft включают такую проверку по умолчанию (да и отключить не вижу способа), вебмани в кипере предлагает включить. А если у тебя на кошельке больше какой-то суммы (по-моему это 3000$) — предлагает более настойчиво, объясняя как ребенку «У вас тут денег много, лучше включить эту штуку». Ну а у п24 пользователь, которому ценны его средства, должен разбираться в информационной безопасности и знать что где включить. Отличная забота о клиентах.

Ну и эта мера в общем-то в плане безопасности не самая надежная, просто вспомогательная чтобы хоть немного сократить круг тех, кто может пытаться вас ломать. У большинства IP не статический и в исключения поэтому пихается целая подсеть, а у некоторых провайдеров подсетей несколько и они меняются, и получается ты все равно даешь доступ всем, кто к твоему провайдеру подключен. А в случае привата это вообще не имеет значения, потому что к деньгам можно подобраться и без п24.

Відповісти
Підтримати
Familiar Stranger
Gennady Dogaev full-stack web developer (freelance) 02.12.2016 03:29

Инструкция есть, говорите? Скорей отталкивающий текст. Ни что это такое для тех кто не знает, ни как его потом сменить. Я лично никогда не введу туда IP, зная что он у меня меняется, пока там нет заверения что я смогу его потом поменять без визита в банк.

c2n.me/3F2aDeM

Відповісти
Підтримати
Familiar Stranger
Mikhail Boiko SE в NVIDIA 01.12.2016 13:45
то до сих пор ходите с открытой легкодоступной дыркой каждый день

О Боги! От куда у вас эта информация?!

Відповісти
Підтримати
Serg Mois
qwerty .qwerty 01.12.2016 21:14

ты не врубаешься, можно было просто добавить доп. поле с кодовым словом для колл-центра и все проблемы решены.
Приват дырявый как твоя прямая кишка.

Відповісти
Підтримати
Serg Mois
Yaroslav Ulanovych Scala Developer в Remote 02.12.2016 13:15

Вот, именно благоря людям, считающим описанное мною положение вещей нормальным, ничего и не изменится. Спасибо, друзья.

Відповісти
Підтримати
Serg Mois
Yaroslav Ulanovych Scala Developer в Remote 02.12.2016 13:36

Вы не хотите, сделать мир лучше?

Відповісти
Підтримати
anonymous
Yaroslav Ulanovych Scala Developer в Remote 02.12.2016 14:19

Вы правда думаете что там в привате сидят настолько тупые, что не знают об описанной мной дыре? В этом мире правят деньги. И раз сделано так как сделано, то значит что ущерб от клиентов, потерявших деньги, слишком мал. Следовательно чтобы заставить их что-то препринять по этому поводу нужно его увеличить. Что я и пытаюсь сделать путем антирекламы. Чем больше людей откажется от услуг привата по причине вопросов с безопасностью, тем больше денег они (банк) потеряют, тем больше стимул эту самую безопасность повышать.

ЗЫ. К чему вы сюда приплели онлайн платежи?

Відповісти
Підтримати
anonymous
Yaroslav Ulanovych Scala Developer в Remote 02.12.2016 17:16

Если уйду один — нет, если уйдут много — да, с этой целью и написал пост.

Написал Дубилету в фейсбук, спасибо за наводку.

Відповісти
Підтримати
anonymous
Gennady Dogaev full-stack web developer (freelance) 02.12.2016 18:19
найдут это обсуждение
Вообще приват следит за публикациями в интернете. Точно следит за твиттером и ЖЖ. За форумами не знаю. Но вот могут ли те кто следят дергать тех кто решает — вряд ли
Відповісти
Підтримати
anonymous
Yaroslav Ulanovych Scala Developer в Remote 03.12.2016 14:56

У вас случайно нету прямого канала к топам? В фейсбуке ответил другой сотрудник.

Відповісти
Підтримати
anonymous
Yaroslav Ulanovych Scala Developer в Remote 02.12.2016 13:20
Онлайн платежи никто не отменял
Я отменял. 0 в качестве лимита для покупок в интернете. Советую воспользоваться серым веществом, перед тем как писать комментарии.
Відповісти
Підтримати
anonymous
Yaroslav Ulanovych Scala Developer в Remote 02.12.2016 13:58

Я черным по белому в посте написал о смене пин-кода и снятии денег из банкомата. К чему вы приплели онлайн платежи мне неизвестно.

Відповісти
Підтримати
anonymous
Yaroslav Ulanovych Scala Developer в Remote 02.12.2016 17:20

Мне действительно сложно понять, почему я спрашиваю о сбросе пина, а мне отвечают об онлайн платежах. С ними все в порядке, защититься можно.

Відповісти
Підтримати
anonymous
Oleksandr Multimedia Content Maker в Marketing agency 30.11.2016 22:23

кстати а как насчет нулевой отвественности? пробитая голова является уважительной причиной, что бы не считать человека самого виноватым в краже денег.

Відповісти
Підтримати
Oleksandr Multimedia Content Maker в Marketing agency 30.11.2016 22:21
Уважаемые коллеги, просьба посоветовать более безопасный банк.
какой нить без инет банкинга. ходите в отделение с платежками — безопаснее всего
Відповісти
Підтримати
anonymous 30.11.2016 22:30

І чекову книжку! Щоб можна було гроші зняти лише в тому відділенні, де ту саму чекову книжку видавали!

Відповісти
Підтримати
Oleksandr
Котэ гуляющее само по себэ 30.11.2016 22:42

По последним пятницам нечетных месяцев високосного года, с 12.00 до 14.00, обеденный перерыв 13.00-14.00.

Відповісти
Підтримати
anonymous
anonymous 30.11.2016 22:45

Жарти жартами, а я реально задумався, коли мене запитали чи хочу я відкрити чекову книжку разом з ФОП. Але коли дізнався, що для cash out моїм замовникам треба буде йти у відділення банку, просто посміявся в очі працівнику банка.

Відповісти
Підтримати
Котэ гуляющее само по себэ
anonymous 30.11.2016 21:09

А я навпаки чекаю коли вже нарешті прикрутять TouchID в android. На iOS дуже давно з’явилося, ще коли 5S мало у кого був. А зараз навіть в дешевих китайцях сканер, який працює краще, ніж на iPhone 6, але приватбанк чомусь не поспішає прикручувати фічу.

Відповісти
Підтримати
anonymous 30.11.2016 22:29

Так точно. Повторю своє питання, яке писав нижче.
От є у вас автомобіль. Ви не боїтеся виходити з нього? На вас можуть напасти грабіжники і забрати авто — часто воно коштує значно більше, ніж можуть зняти грошей з карти, де стоїть ліміт на 1000 грн в день.

Відповісти
Підтримати
anonymous
anonymous 30.11.2016 22:49

Все зводиться до одного — кожна людина сама для себе встановлює співвідношення зручність/безпека. Воно ніколи не може бути рівним 100%. Вибір за вами. Особисто, я віддам грабіжнику телефон і гаманець (вірогідність ситуації 1 до 5000), а поки він буде думати що з цим всим робити просто подзвоню в банк і заблокую всі карти. Паранойя нікого до добра не доводила, треба вміти знаходити компроміси.

Відповісти
Підтримати
anonymous
Дмитрий Мирошник Lead QA Automation Engineer в Papaya Global 01.12.2016 15:24
я віддам грабіжнику телефон
просто подзвоню в банк
Одному мне кажется, что что-то тут не так? ;)
Відповісти
Підтримати
anonymous
anonymous 01.12.2016 15:25

Зайшов в найближче кафе і попросив телефон або просто прийшов додому.

Senior QA Automation Engineer
ааа, це у вас професійне.
Відповісти
Підтримати
Дмитрий Мирошник
Дмитрий Мирошник Lead QA Automation Engineer в Papaya Global 01.12.2016 15:30
Зайшов в найближче кафе і попросив телефон
Ну, да. Если дадут. У нас люди отзывчивые... А номер бенебанка наизусть помним? :)
або просто прийшов додому
Пока дошёл — деньги с карточки тю-тю...
Відповісти
Підтримати
anonymous
anonymous 01.12.2016 15:39

Які тютю? Ліміт 1000 грн в день на зняття готівки.

Відповісти
Підтримати
Дмитрий Мирошник
Дмитрий Мирошник Lead QA Automation Engineer в Papaya Global 01.12.2016 15:48

1. Ресетнул ПИН любым из способов, описанным выше, зашёл в Ашан, скупился на сколько фантазии хватило.
2). Зашёл в любой супермаркет электроники, скупил мелочи, на сколько денег хватило, пошёл в ближайший ломбард и сдал.

Відповісти
Підтримати
anonymous
Артур Мо 02.12.2016 10:01

Какой скупился? А пин? Если вопрос в том, что грабительские завладел уже пином и картой, то наверняка при покупке так же действует ограничение в установленную сумму как при снятии.
Да и имея доступ в приват24 без никаких проблем меняют лимит.
Вопросики?

Відповісти
Підтримати
Дмитрий Мирошник
Дмитрий Мирошник Lead QA Automation Engineer в Papaya Global 02.12.2016 11:45

Смотри, всё просто. Карта защищена пином, который нормальный человек не хранит вместе с картой (а в идеале вообще не хранит с собой), таким образом, похитив карту, злоумышленник максимум, что сможет сделать — это списать её данные и использовать CVV2 код для заказа чего-нить из интернета. Как альтернативу, может дубликат изготовить, но это уже технологически сложнее и требует времени, таким образом, пострадавший успеет заблокировать карту. Если есть возможность сбросить пин с телефона — то, получив телефон, злоумышленник вполне сможет сбросить пин и таким образом обойти защиту карты. Телефон, в отличие от пина, украсть легко, поскольку зачастую хранится у человека с собой. Более того, при наличии барсетки, сумочки и пр., вероятность того, что телефон будет храниться вместе с кошельком, резко повышается. Таким образом, вероятность, что будут одновременно украдены и карта, и средство обойти её защиту, намного выше, чем вероятность украсть карту вместе с пином.
Насчёт ограничений: зачастую ограничение на транзакции через pos терминал или отсутствует, или очень большое, что, в принципе, логично: скупаясь в ашане, ты вряд ли захочешь увидеть сообщение о невозможности провести транзакцию на 3 штуки, зная, что у тебя на карточке есть 100 штук. Есть, конечно, параноики, которые залочивают карту на все виды транзакций, а потом перед каждой покупкой специально разлочивают её, но таких — меньшинство.

Відповісти
Підтримати
Артур Мо
anonymous 01.12.2016 09:09
А я навпаки чекаю коли вже нарешті прикрутять TouchID в android.
Не менее полутора месяцев пользуюсь именно им для логина в Приват24 на Samsung Galaxy S7 Edge. Может, он и до этого был, просто я не лазил по настройкам.

Другое дело, что, может, на телефонах других производителей это еще не сделали... не знаю.

Відповісти
Підтримати
anonymous
Alex Koshterek погромизд 01.12.2016 10:19

Сделали. С пейпал работает

Відповісти
Підтримати
anonymous
Dmitry Manko IT 01.12.2016 14:58

Давно прикрутили, на Самсунгах работает авторизация по отпечатку в Приват24. Думаю что на китайцах не будет никогда т.к. каждый из них реализовывает это по своему.

Відповісти
Підтримати
anonymous
anonymous 01.12.2016 15:21

Я думав, що TouchID працює через глобальне API android. Що, реально у кожного своя реалізація TouchID? Якщо так, то це жесть.

Відповісти
Підтримати
Dmitry Manko
Dmitry Manko IT 01.12.2016 17:36

Начиная с 6.0 девайсы с fingerprint сканерами должны поддерживать соответствующее API
developer.android.com/...rint/package-summary.html
и выполняться с учетом 7.3.10.
static.googleusercontent.com/...atibility/android-cdd.pdf

Но подвальные производители «смартфонов по 50» клали на эти требования и делают как им дешевле и удобнее.

Відповісти
Підтримати
anonymous
anonymous 01.12.2016 20:32

xiaomi і meizu — це китай по 50? У мене стабільний Android 6, прекрасний touchID, який працює значно коректніше, ніж на iPhone 6, але Приватбанк всеодно не поспішає.

Відповісти
Підтримати
Dmitry Manko
Dmitry Manko IT 01.12.2016 20:44

Китай по 50 это скорее к Doogee X5 Pro/ BlackView и прочее, а у вас более раскрученный, но все равно по факту Китай. Никаких гарантий соблюдения ими стандартов нет. То что оно работает на их прошивке с их же приложениями не значит что оно отдается вовне другим приложениям по стандартному API как и должно, и не значит что их хранилища соответствуют стандартам.

Відповісти
Підтримати
anonymous
anonymous 01.12.2016 21:04

1password (один з найкрутіших менеджерів паролів) прекрасно працює на xiaomi.
Яка їх прошивка? Які їх програми? Все там працює давно. Але iOS девелопери тільки побачили цю можливість, так відразу і почали прикручувати фунгціональність, а android деви — «не у всіх це є, нафіг треба». Не видумуйте дурні відмазки. Просто приватбанку впадло робити цю фічу і все.

Відповісти
Підтримати
Dmitry Manko
Dmitry Manko IT 01.12.2016 21:18

еще раз — если бы оно работало через стандартное API, то приватовцам не надо было бы ничего делать кроме того что уже сделано и работает на Самсунгах, по этому говорить про «впадло» тут не уместно. Если оно не работает, то на это может быть две причины — либо у них не стандартное API (1password не показатель, они могли адаптироваться под это не стандартное API), либо у них не достаточно защищенное хранилище или проигнорированы какие-то требования из 7.3.10.

Відповісти
Підтримати
anonymous
Егор Добровольский 02.12.2016 11:34

еще раз: у меня, например, телефон отвечает всем требованиям по 7.3.10. все приложения, использующие fingerprint api, работают, кроме приватовского поделия.

Відповісти
Підтримати
Dmitry Manko
Dmitry Manko IT 02.12.2016 13:28

а какая модель девайса и как вы это проверили? Я просто сомневаюсь что приватовцы специально поставили проверку если девайс<>Самсунг = никакого фингерпринта.

Відповісти
Підтримати
Егор Добровольский
Егор Добровольский 02.12.2016 13:36

они именно так и сделали. более того, с самсунгами они работали не через marshmallow fingerprint API, а через самсунговское API.

девайс — OnePlus Two, хардварный криптосторейдж есть (софтварный даже выбрать нельзя). ибо Snapdragon 810.

root-nation.com/...at24-android-fingerprint — пруф с samsung-only фингерпринтом.

приват такой приват.

Відповісти
Підтримати
Dmitry Manko
Dmitry Manko IT 02.12.2016 13:39

тогда красавцы, что тут еще скажешь. Можно попробовать накапать Гороховскому в его Фейсбук, он влияет на такие вещи.

Відповісти
Підтримати
Егор Добровольский
Котэ гуляющее само по себэ 30.11.2016 20:42

Как можно отправить смс с заблокированного телефона?
Расскажите, тоже хочу знать (ios).
Или в наше время есть люди, не ставящие на сим карту пин-код (зная, что привязан счет)?

Відповісти
Підтримати
Антон Касьянов перекладыватель байтов из аррэев в спаны 30.11.2016 20:59

Touch Id же. Для разблокировки нужен только пальчик бездыханного Васи. А если он был достаточно ленив, то и вход в приложение Приват24 тоже будет через отпечаток пальца

Відповісти
Підтримати
Котэ гуляющее само по себэ
Yaroslav Ulanovych Scala Developer в Remote 30.11.2016 21:12

Кстати о приват24. Чтоб сбросить пароль там нужен телефон (есть), карточка (есть) и ИНН. ИНН часто лежит в паспорте и паспорт нередко носят с собой.

Відповісти
Підтримати
Антон Касьянов
anonymous 30.11.2016 21:30

Як бути автомобілістам, які ходять з ключами від авто? Це вже нагадує паранойю.

Відповісти
Підтримати
Yaroslav Ulanovych
Yaroslav Ulanovych Scala Developer в Remote 01.12.2016 17:59

Пока гром не грянет, мужик не перекрестится.

Відповісти
Підтримати
anonymous
anonymous 01.12.2016 20:34

Між паранойєю і безтурботністю я обираю друге.

Відповісти
Підтримати
Yaroslav Ulanovych
Yaroslav Ulanovych Scala Developer в Remote 01.12.2016 18:29

Мой посыл в том, что существует способ обезопасить деньги на карте, даже если украдут карту и телефон — сделать сброс пинов и паролей только при личном посещении банка. Если бы подобный способ существовал для автомобилей — им бы воспользовалось много людей.

Відповісти
Підтримати
anonymous
Gennady Dogaev full-stack web developer (freelance) 01.12.2016 20:27

И поотключать все эти «Забыл карту? Введи номер телефона»

Відповісти
Підтримати
Yaroslav Ulanovych
HorAV 01.12.2016 20:50

У меня одна связка с брелком сигнализации на завод машины, вторая в другом месте на блокираторы — мультилоковский стержень на косточке руля, сувальник на капоте из салона и багажник только с сигнализации. Каждый день чертыхаюсь, забывая их снимать. Максимальное что смогли, переломали все ручки на дверях и по итогу разбили окно. Теперь ночует на стоянке. Так что, то же самое что и по карточкам — не отдашь, не скажешь, значит рискуешь здоровьем и жизнью. Так что украдут — это еще благо и очень хорошо. Карточки, кошельки, нафига они им сдались — тут уже с лептопом со стоянки вечером идти опасаешься. Нужно покупать по числу рабочих мест.

Відповісти
Підтримати
Yaroslav Ulanovych
Котэ гуляющее само по себэ 30.11.2016 21:35

Впрочем, можно назначить разблокировку на кожу с такого места, где никто не догадается приложить, например, на нос, или ...

Відповісти
Підтримати
Антон Касьянов
Котэ гуляющее само по себэ 30.11.2016 21:37

Это кроме того, что на 5 раз вход по отпечатку отключается, и нужно ввести пароль.
Безымянный палец левой руки вряд ли попадет в первые пять попыток гопников.

Кроме того, из сидии можно взять твик, ограничивающий кол-во неудачных попыток до 3-х или вообще одной.

Відповісти
Підтримати
Котэ гуляющее само по себэ
Yaroslav Ulanovych Scala Developer в Remote 30.11.2016 21:07

Вася без сознания, разблокировка по отпечатку пальца.

Відповісти
Підтримати
Котэ гуляющее само по себэ
Oleksandr Multimedia Content Maker в Marketing agency 30.11.2016 22:20

процент людей с айфонами не так и велик а в андроиде все равно пароль нужен. ну если так страшно — не привязывайте к тач айди и вводите пароль каждый раз

Відповісти
Підтримати
Yaroslav Ulanovych
Дмитрий Мирошник Lead QA Automation Engineer в Papaya Global 01.12.2016 15:25

Очень просто.
1). Вытаскиваем симку.
2). Вставляем в свой телефон.
3). Profit!

Відповісти
Підтримати
Котэ гуляющее само по себэ
Дмитрий Мирошник Lead QA Automation Engineer в Papaya Global 01.12.2016 16:49

Вы много знаете людей, у которых он включен? Из всех моих знакомых я, наверное, единственный, кто его использует. Поскольку производители смартфонов приучили людей, что залочка телефонов — это мощно (хотя это и не так, обходится она не особо напрягаясь), то люди решили, что пин карты — это излишне. Его надо вводить, а это время, ещё и помнить, а это мозг напрягать надо... :)

Відповісти
Підтримати
Котэ гуляющее само по себэ
Артур Мо 02.12.2016 09:54

А толк от пин кода когда телефон могут даже не выключать , а сразу пытаться скинуть пароль. Каждый ли ставит пробуждение аппарата по графическому ключу? О сканере уже сказали до меня.

Відповісти
Підтримати
Котэ гуляющее само по себэ
Denis Pakizh Independent Software Engineer 30.11.2016 20:38

В хорошей системе безопасности слабое звено — это человек. Ну в данном случае — это васина голова. А вообще, да — между удобством и уровнем защищенности приходится искать компромиссы.

Відповісти
Підтримати
Николай Щемур 23.05.2018 20:55

А я приватом не пользуюсь. Даже не оформлял никогда

Відповісти
Підтримати
Denis Pakizh
Serhii L Software Engineer (Java) 30.11.2016 20:23

Финансовый номер != персональный, который все знают и ты носишь с собой. Где хранить симку (или отдельно телефон) — твой выбор. При частом использовании интернет-банкинга — неудобно, но у любого решения есть своя цена.

Відповісти
Підтримати

Підписатись на коментарі

Не підписуватись
Скористайтесь акаунтом
×
з умовами використання сайту і політикою конфіденційності.