Репутація українського ІТ. Пройти опитування Асоціації IT Ukraine
×Закрыть

Взлом Приват24 Бизнес по тихому?

Я не паникер, но больше всего насторожил ответ менеджера в чате...

Все кто пользуется Приват24 для бизнеса, зайдите в свой аккаунт и посмотрите историю входов, нет ли подозрительных IP. Есть ли вообще история?

У меня приключилось следующее:
На выходных я заметил пару IP, местоположение которых не бьется (10.61.128.30). Я начал гуглить, подобных вопросов нигде не возникало на форумах, я как то остыл и забил на это.
Захожу сегодня в П24 и смотрю что в поле «последний вход» опять левый IP 10.61.128.30, а при переходе в историю — вся история пропала! Кто то почистил ее? С П24 интерфейса это не возможно!

Я сразу отписался в чат, описал ситуацию — у меня даже не поинтересовались что, когда и тп. А закончилось все тем что с вашего ОКПО не было никаких действий, значит все ок. А вывод тут какой можно сделать: либо они знают, либо менеджер не осознавала серьезность проблемы...

LinkedIn
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

https://******.it/2017/12/01/privatbank-hacked/
АПД ну вы поняли куда ведет ссылка :)

www.facebook.com/...​i/posts/10213505394888197
Про диверсию «снятие без карточки»

Обоснованное предположение, это тупо прокси для мобильной версии или для апликухи. А ну, попробуй зайти и посмотреть потом в лог.

Либо действительно кто-то входил, либо глюк софта. С другой стороны им история входов доступна и они легко могут отфильтровать эти внутренние IP. Скорее всего речь шла о действительно подозрительных IP. Если у вас нет реального IP, то такие адреса и будут записываться. Провайдеры обычно именно в этой сети выдают приватные адреса, так как она самая большая. Проверьте какой IP вам выдает провайдер и сравните с этим.

Такие IP на мобильных устройствах (в мобильных сетях).
Заходили оттуда, а уж Вы или таки взлом — сами вспоминайте.

Простите, суть вопроса глубже. Почему тогда логи почистили? В добавок у меня нет приложение П24 бизнес, захожу только с компьютера в офисе с выделенным IP.

Вот про логи непонятно тоже.
В офисе это единственный выход, через то где выделенный IP, или таки может переключаться на резервный канал через сотовую связь? Как вариант.

У мене вже декілька днів як крашиться мобільна версія прива24, якщо заходжу у мобільний приват для бізнесу він каже, що відправив запит на авторизацію у приват24, замкнуте коло :)

было такое, но не для бизнеса, а в обычном моб.приложении Приват 24. Это просто они требуют сменить пароль. Т.е. решение простое — поменять пароль по прилагаемой ими процедуре.

Історія входів також почищена.
Але щойно зробив вхід у веб-версію і мобільну. Для мобільної версії в історії відображається якраз IP 10.61.128.30.

І це правильна відповідь!
Тобто це проксі для мобільної версії, найвірогідніше Nginx. А ці йолопи замість прокинути справжній IP через HTTP-заголовки — тупо пишуть в лог адресу проксі.

Проверил только что, есть такие адреса, по времени похоже на мои входы с мобильного приложения.

Это Петька смотрит)) кто еще не покупал конфеты через приват 24))

Это 100% внутренний адрес. Возможно тестировщики)

1. По процедуре: меня как-то смущает пост от ника «Иван Дорн», учитывая последние «подвиги» этого персонажа на околополитическом поле.
2. По сути: при мне в Привате сотрудник заходил на мой счёт, не требуя авторизации (кроме каких-то особых случаев, когда я зачитывал код из СМС), смотрел сальдо, операции и т.п.
Если они просто начали отображать эти заходы — нет проблемы, кроме того, что этому отражению желательно бы показывать, кто именно из сотрудников ходил, какие полномочия требовал (хотя бы зашифрованно).

Проверили, привязанный за мной менеджер заходил из своего аккаунта рабочего — IP не отобразилось, + ко всему логи чистить они тоже не могут.

Это может быть и сервер. Кстати, IP-адреса внутренней сети как правило постоянны и сохраняются годами. То есть админы банка могут посмотреть, чей это адрес.

Другой вопрос, какого лешего выполнять действия из-под аккаунта пользователя, если есть честные админ-права? Вероятно, просто впадло настроить сервисные полномочия в системе. Но такие проблемы означают возможную утечку прав, например, действия саппорта будут неотличимы от действий пользователя. А саппорт — низкооплачиваемый персонал с огромной текучкой кадров.

Как правильно заметили, адреса 10.*.*.* — это адреса локальной сети. Без вариантов, в Приватбанке поднята сеть именно в этом диапазоне. То есть адреса и маршрутизация контролируются на уровне всего Приватбанка, так что киньте заявку на безопасность и попросите отписаться в этой теме. Если у людей есть админ-права прочистить статистику, значит это админы или какой-нить crontab на сервере. Админов немного, они сидят в одной комнате, риск минимален.

Вероятность 100:0 что проблемы неавторизованного доступа нет. Но возможно есть изначально заложенная уязвимость в саму систему, дающая право выполнять действия от имени пользователя. Такого не должно быть. Действия админа должны логироваться, с указанием времени открытия отдельной сессии, разумеется логина и способа авторизации. В противном случае не ровен час, какой-нить wannaCry упрёт полномочия и натворит дел от имени клиентов. Обезвредить один эккаунт — действие очень простое, обезвредить все — невозможное.

Но ведь в истории были случаи внедрения в банк и «работа изнутри». Почему кто то заходит в мой аккаунт без моего ведома? Изначально у сотрудников банка все данные клиента не доступны, они же не могут совершать никаких действий пока не подтвердит клиент (смс код например). Насколько мне известно они даже в истории оплаты видят не полный номер карты. А тут левые IP в моем кабинете, я об этом никак не извещен и в это время не обращался в банк. Замечания мои никому не интересны, могли бы хоть подать заявку в ИТ департамент чтоб те хотя бы проверили все ли хорошо там у них.

Я больше скажу, в истории этого банка были случаи. Но конкретно здесь — все признаки того, что наследил именно сервер.

Просто админу нахер не нужен твой эккаунт, он войдёт из своего. Саппорту не доступны админ-полномочия, ЕСЛИ ТОЛЬКО идиоты не разрешили саппорту беспарольно входить под юзером. Я такое встречал, но точно не в банковской отрасли.

А вот сервер, особенно обновляющий версии, спокойно могли натравить скормить тебе какой-то рекламы итд итп, но за это тоже полагается отрывать йайтца.

ЕСТЬ ВЕРОЯТНОСТЬ, что накосячили с самим логированием. ЕСТЬ ВЕРОЯТНОСТЬ, что в принципе не предусмотрели работу регламентных процедур из-под админа, и сервер регламента ходит на сервер Приват24 под эккаунтом и полномочиями клиента. Но за это надо привязывать к перилам и пиzдить как боксёрскую грушу пока тряпочка не останется.

В общем, как ни крути, но при правильной организации такого цирка быть не может. Я не вижу утечки именно безопасности, но факт что процедура предоставления доступа явно через жопу, и это значит что существует жопа (весьма низкооплачиваемая, кстати), которая спокойно может прописать скрипт (например, отложенных платежей наштамповать), и даже логи тереть не придётся: всё будет выполнено как если бы из-под пользователя.

А теперь смотри фокус: думаешь они починили? Щщас! Я считаю, что они просто накинули фильтр на лог, чтобы 10.*.*.* не показывалось. То есть засунули под коврик.

Посмотрите исходники запроса client-bank.privatbank.ua/p24/uvst
Там чуть больше информации, чем на UI
У меня:
<row key="0" level="1"> <col name="COUNT_ENTER" level="2">3</col><col name="DATE" level="2">2017-05-22 15:02:43.656</col> <col name="ID" level="2">12345</col> <col name="IP" level="2">***</col> <col name="STATUS" level="2">U</col> <col name="SERVER" level="2">PN</col> </row>

Сверьте юзер айди

12345 с тем, что в начале респонса:
<general bank="PRIVATBANK" senderRoles="***"/> <userinfo name="****" userid="12345" c2buserid="***" sap="***" c2bhighmsgcnt="0" c2blowmsgcnt="0" control="Добро пожаловать, ***">

ipconfig компа в студію

ip 10.0.0.0-10.255.255.255 это маскарадная сеть класса А, т.е. внутренняя сеть.

Значит кто-то из сотрудников заходил под логином владельца, что настораживает.

У меня в логах тоже чисто, только мой сегодняшний вход, хотя входил пару дней назад

СБУ проводит мониторинг

...либо какие-то внутренние разборки

Подписаться на комментарии