Ахтунг! У Приватбанка дыра в системе безопасности
Всем привет.
Несколько дней назад я начал получать огромный поток SMS.
Parol Liq-Pay:12-34-56-78 Ne peredavayte etot parol nikomu. www.liqpay.ua
i.piccy.info/...9_197_com_android_mms.png
За ночь приходило по 70 SMS. Хорошо, что мой телефон автоматически переходит в беззвучный режим ночью. 80 смс с последней чистки ночью:
i.piccy.info/..._teslacoilsw_launcher.png
Никогда не пользовался Liq-Pay (даже не знал, что это) и поэтому был удивлен, что меня достают. Зашел на сайт Liq-Pay и увидел внизу, что это сервис Приватбанка. По поводу взлома особо не переживал, потому что онлайн оплата без моего подтверждения все равно не прошла бы. Хотел просто заблокировать номер Liq-Pay на мобильном, но решил сперва написать в тех поддержку Приватбанка.
Писал 3 раза непродолжительно, чтобы попасть на разных операторов (у привата есть откровенные чайники в тех саппорте).
Оператор № 1 ответил, что это не взлом. Просто кто-то постоянно вводит мой номер телефона на сайте и запрашивает смс с паролем для входа. Ничего страшного в этом нет. Наверное, про подбор паролей из цифр с помощью брутфорса он не знает.
Оператор № 2 ответила, что система защиты Приватбанка ничего не может с этим поделать. Я спросил, почему их система не блокирует атакующего по IP после Х запросов смс с паролем. Сказали, что единственный возможный способ узнать IP — это удачный вход. Пока удачно не вошли, ничего сделать не могут. То есть можно и дальше брутфорсить до посинения. Банк ничего не сделает.
Оператор № 3 ответила практически тоже самое, но сказала, что IP в системе отслеживается только по удачно выполненным финансовым транзакциям. То есть еще хуже чем в первом случае.
Оператор № 2 и № 3 сказали, что единственный возможный способ защитить клиента от банка от взлома через сервис Liq-Pay от Приватбанка — это забанить клиента в некоторых сервисах. Я ими все равно не пользовался.
Пока ждал ответы от оператора чата, приходило по
Я, конечно, и раньше подозревал, что профессиональные навыки программистов и дизайнеров Приватбанка заканчиваются на создании тупых картинок с гопниками и проститутками для главной страницы Приват24. Но меня очень удивило, что у главного банка (уже государственного) страны нет базовой защиты, которая даже в бесплатных плагинах Wordpress
Операторы предоставили мне инструкцию, как я могу заблокировать себя, чтобы меня не взломали. Для этого нужно написать в службу безопасности банка:
Обращаем Ваше внимание на то, что платежные данные карты(срок действия и CVV2 код) в системе не хранится. Для блокировки аккаунта, пожалуйста, напишите письмо на e-mail [email protected] с просьбой заблокировать аккаунт и указанием причины его блокировки. В письме укажите Ваш логин, ФИО и адрес, который указан при регистрации в LiqPay.
Дальше было еще интереснее.
Я решил впервые в жизни войти в Liq-Pay. Оказалось, что Приватбанк сам зарегистрировал меня там. В аккаунте был указан только номер телефона. Ни ФИО, ни адреса, ни емейла из системы Приват24. Ввел их в аккаунте и отправил письмо в службу безопасности банка. Пришло письмо:
Добрый день!
Уточните, пожалуйста, на какой номер Вам приходят смс в таком количестве? Проблема ещё актуальна?
Спасибо за обращение!
Им даже лень зайти в свою систему и проверить.
После ответа пришло письмо с информацией, что мой аккаунт Liq-Pay заблокирован.
Вчера ради интереса снял блокировку с того номера телефона. SMS продолжают литься потоком. Отправил письмо в службу безопасности банка. Ответили, что мой аккаунт уже был заблокирован. Отправил им скриншоты потока смс — больше не отвечают. Наверное, не знают, что делать.
Попробовал ради интереса зайти в Liq-Pay — доступ заблокирован. Зачем тогда слать смс? Можно же проверил блокировку аккаунта до запроса информации для входа. Не нужно быть гением, чтобы додуматься до этого.
Получается, что есть 2 варианта:
1. Вам нужен Liq-Pay — живите со спамом SMS и ожидайте взлом аккаунта.
2. Вам не нужен Liq-Pay — живите со спамом SMS.
Хорошо, что у меня можно блокировать номера.
Вот такая вот защита наших финансов в Приватбанке.
П.С. Описание последовавших далее атак: pasha4ur.org.ua/...windler-on-internet#pirat
76 коментарів
Додати коментар Підписатись на коментаріВідписатись від коментарів