Репутація українського ІТ. Пройти опитування Асоціації IT Ukraine
×Закрыть

Очередной баг Привата

В общем в очередной раз улыбаемся помагаем Привату тестировать свои сайты.
И пусть вас не смущает Маркетолог в профессии, им я стал недавно, до этого был тестеров в одной из продуктовых Днепровских компаний, где мне была поставлена задача(за неимением других) отключить Бонус+ от нашей системы оплаты.

Задача есть — решаем:

Заходим на bonus.privatbank.ua внизу есть кнопочка «Вход для партнеров» (prnt.sc/c7mt1m) — проходим стандартную авторизацию через номер телефона и пароль и тут вуаля, мне высвечивается непонятное окошко, предлагающее войти пользователем «ПриватБанк» prnt.sc/c7mj0z, ну, естественно, тыжтестировщик я вхожу именно под ней и тадааам — доступ к админ панели с персональными данными с возможностью корректировать их всех Торговых Точек с Бонус+ (prntscr.com/c7mhqh — скрин одной из них, наименее заполненной, поверьте, там было на что поглазеть :))

А бага совершенно очевидная: я бывший сторудник привата и у них не стояла проверка на то, корпоративный я клиент или нет и не стояла проверка на «бывшего сотрудника».
Я, как добропорядочный человек, написал им для получения денюжки: privatbank.ua/ru/safeness
Грустно, что Приват очнивает такую багу в 1900 грн.!

А как вы думаете, сколько должна стоить такая бага?

P. S. баг устранен. Постик написал только после устранения. И потом нашел рейтинг багхатеров: privatbank.ua/ru/safeness/bughunters — прикольно сделали :)

LinkedIn
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
А бага совершенно очевидная
такая бага
такую багу

Будто в 2010 вернулся.

А тим часом: prnt.sc/k0jczh
Скріншот зроблений біля 23:00.

Не зрозумів, це тролінг чи ні.

Downtime 8 годин підряд системи інтернет-банкінгу найбільшого в країні банку у 2018 році — це якось не дуже правильно...

так невідомо, що вони там роблять
може дійсно роботи багато, може вони віндовс на сервері переставляють

Distributed System Architecture і High Availability, нє? )))

Наверное, IT-шники привата монтируют и рендерят новое видео с проститутками, гопниками и наркоманами для главной страницы Приват 24.

Отрендерят, выложат и запустят сервис.

До семи утра не справились. Последнее время Аваль также задолбал регламентными работами.

Як можливо взнати, які тарифи за обслуговування гривневого ФОП-рахунку?

Спілкувався із 3-ма працівниками Приватбанку, і в кожної своя версія.

Ситуація. Відкрив рахунок у серпні. У вересні отримав гроші, хочу у вересні їх зняти. Питання: якщо припустити, що на цей рахунок у найближчому майбутньому не буду отримувати гроші і не буду ним користуватися, яку мінімальну суму на ньому треба залишити, щоб не зайти в мінус.

Версія 1: працівник, яка відкривала рахунок (Кіндрат Леся). Плата за відкриття — 100 грн.; плата за обслуговування — 50 грн у місяць, якщо є рух коштів по рахунку, крім плати за обслуговування і зняття коштів. Тому залишаю 150 грн.

Версія 2: оператор чату (Замятіна Анна).

Замятіна Анна
Доброго дня, шановний Клієнт!
16:55
Доброго дня, Анно.
16:55

Замятіна Анна
Плата за обслуговування рахунку складає 100 грн. на місяць
16:55
У минулому місяці я відкрив ФОП-рахунок (IT-експерт). У цьому місяці я отримав на нього гроші. Якщо припустити, що поки що на нього не буду отримувати гроші, яку мінімальну суму я повинен на рахунку залишити, щоб не зайти в мінус?
16:56
Будь ласка, дочекайтеся відповіді оператора
17:00
ок
17:00

Замятіна Анна
Якщо у Вас підключений тариф IT-експерт, то сума за обслуговування рахунку — 50 грн.
17:00
Я не знаю всіх статей, по яких стягуються гроші: сума за обсоуговування рахунку, може, ще щось. Якщо я залишу на рахунку 50 грн, то я не зайду в мінус?
17:02

Замятіна Анна
Не зайдете
17:03

Тому залишаю 50 грн.

Версія 3: оператор кол-центру (Анна).
Щомісяця — 50 грн, якщо не було руху коштів у попередньому місяці, причому зняття плати за обслуговування рахунком вважається рухом коштів.
Тому знімаю зараз всі гроші, а в жовтні (з іншої картки, у касі чи банкоматі) вношу 50 грн. Бо якщо зараз залишу 50 грн., у жовтні буде 0, а в листопаді — −50 грн.

Знайомий розповідав, як там стажувався. Одне із найцікавіших було те, що на другий тиждень стажування міг відкрити інформацію про будь-якого клієнта банку і «оцінити» всі його рахунки. :) Це при тому, що міг це бачити без відома клієнта.

Это нормально! На то это и банк! Я когда работал там я тоже мог это делать, причем как сотрудников, так и клиентов — но другой вопрос что там есть полиграф, проверки, каждый чих логируется за твоим Логином! Поэтому очень и очень легко потом посмотреть кто что и где смотрел.

Для этого даже стажёром из универа система безопасности трахает мозги перед началом работы и подписывается куча бумажек обещающая анальные кары и вывоз в лес по частям

Бага на самом деле очень серьёзна, как бывший сотрудник расскажу в чём именно серьёзность: это значит, что для входа в систему банка НЕ ИСПОЛЬЗУЕТСЯ общая точка авторизации и валидации доступов, а есть системы, которые используют свою.

Любая система Привата кроме логина-пароля есть обязана проверить полномочия этого логина. Если даже любой действующий сотрудник имеет туда вход, это значит что я даже не имея вообще туда логина могу туда зайти. Как именно — не скажу, ибо это особенность системы и она неустранима. Но сам факт, что основной срез безопасности — находится на представлении ролей каждому логину. Без назначенных ролей ты разве что корпоративный спам можешь почитать.

Уволенному сотруднику в обязательнейшем порядке уничтожаются все роли. Абсолютно все, без исключений. И если куда-то сохранился доступ, это значит что где-то используется своя система, работающая чисто по логин-паролю.

Учитывая среднюю текучку кадров, в эту систему получается уже имеет доступ порядка 300 000 человек. Я бы и сам протестил, но.... свой пароль забыл :)

Если это читают сотрудники банка [привет, кого знаю], как устранить: прямым приказом запретить любую другую авторизацию кроме основного LDAP (или что там сейчас пользуется) и равно как любое другое назначение/сравнение ролей. Как затычка — УДАЛИТЬ все роли недействующим сотрудникам во всех посторонних точках авторизации.

PS. А вообще думаю там хватает багов. К примеру, когда там работал, написал заявку на закрытие вопиющего бага, позволяющего любому получить логин и пароль практически любого сотрудника, включая председателя правления. Почему-то уверен, его не закрыли до сих пор. Не поверите почему: не посчитали багом, типа это фича. Хотя логин и пароль всех испытуемых я получил.

Грустно, что Приват очнивает такую багу в 1900 грн.!
А ведь могли в багажник и в лес, так что 1900 тоже неплохо.

Подписаться на комментарии