×Закрыть

Ахтунг! У Приватбанка дыра в системе безопасности

Всем привет.

Несколько дней назад я начал получать огромный поток SMS.

Parol Liq-Pay: 12-34-56-78 Ne peredavayte etot parol nikomu. www.liqpay.ua

i.piccy.info/...​9_197_com_android_mms.png

За ночь приходило по 70 SMS. Хорошо, что мой телефон автоматически переходит в беззвучный режим ночью. 80 смс с последней чистки ночью:

i.piccy.info/...​_teslacoilsw_launcher.png

Никогда не пользовался Liq-Pay (даже не знал, что это) и поэтому был удивлен, что меня достают. Зашел на сайт Liq-Pay и увидел внизу, что это сервис Приватбанка. По поводу взлома особо не переживал, потому что онлайн оплата без моего подтверждения все равно не прошла бы. Хотел просто заблокировать номер Liq-Pay на мобильном, но решил сперва написать в тех поддержку Приватбанка.

Писал 3 раза непродолжительно, чтобы попасть на разных операторов (у привата есть откровенные чайники в тех саппорте).

Оператор № 1 ответил, что это не взлом. Просто кто-то постоянно вводит мой номер телефона на сайте и запрашивает смс с паролем для входа. Ничего страшного в этом нет. Наверное, про подбор паролей из цифр с помощью брутфорса он не знает.

Оператор № 2 ответила, что система защиты Приватбанка ничего не может с этим поделать. Я спросил, почему их система не блокирует атакующего по IP после Х запросов смс с паролем. Сказали, что единственный возможный способ узнать IP — это удачный вход. Пока удачно не вошли, ничего сделать не могут. То есть можно и дальше брутфорсить до посинения. Банк ничего не сделает.

Оператор № 3 ответила практически тоже самое, но сказала, что IP в системе отслеживается только по удачно выполненным финансовым транзакциям. То есть еще хуже чем в первом случае.

Оператор № 2 и № 3 сказали, что единственный возможный способ защитить клиента от банка от взлома через сервис Liq-Pay от Приватбанка — это забанить клиента в некоторых сервисах. Я ими все равно не пользовался.

Пока ждал ответы от оператора чата, приходило по 5-6 смс с паролями.

Я, конечно, и раньше подозревал, что профессиональные навыки программистов и дизайнеров Приватбанка заканчиваются на создании тупых картинок с гопниками и проститутками для главной страницы Приват24. Но меня очень удивило, что у главного банка (уже государственного) страны нет базовой защиты, которая даже в бесплатных плагинах Wordpress 5-7 летней давности.

Операторы предоставили мне инструкцию, как я могу заблокировать себя, чтобы меня не взломали. Для этого нужно написать в службу безопасности банка:

Обращаем Ваше внимание на то, что платежные данные карты(срок действия и CVV2 код) в системе не хранится. Для блокировки аккаунта, пожалуйста, напишите письмо на e-mail monitoringceb@privatbank.ua с просьбой заблокировать аккаунт и указанием причины его блокировки. В письме укажите Ваш логин, ФИО и адрес, который указан при регистрации в LiqPay.

Дальше было еще интереснее.

Я решил впервые в жизни войти в Liq-Pay. Оказалось, что Приватбанк сам зарегистрировал меня там. В аккаунте был указан только номер телефона. Ни ФИО, ни адреса, ни емейла из системы Приват24. Ввел их в аккаунте и отправил письмо в службу безопасности банка. Пришло письмо:

Добрый день!
Уточните, пожалуйста, на какой номер Вам приходят смс в таком количестве? Проблема ещё актуальна?
Спасибо за обращение!

Им даже лень зайти в свою систему и проверить.

После ответа пришло письмо с информацией, что мой аккаунт Liq-Pay заблокирован.

Вчера ради интереса снял блокировку с того номера телефона. SMS продолжают литься потоком. Отправил письмо в службу безопасности банка. Ответили, что мой аккаунт уже был заблокирован. Отправил им скриншоты потока смс — больше не отвечают. Наверное, не знают, что делать.

Попробовал ради интереса зайти в Liq-Pay — доступ заблокирован. Зачем тогда слать смс? Можно же проверил блокировку аккаунта до запроса информации для входа. Не нужно быть гением, чтобы додуматься до этого.

Получается, что есть 2 варианта:
1. Вам нужен Liq-Pay — живите со спамом SMS и ожидайте взлом аккаунта.
2. Вам не нужен Liq-Pay — живите со спамом SMS.

Хорошо, что у меня можно блокировать номера.

Вот такая вот защита наших финансов в Приватбанке.

LinkedIn
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Укробанки? Это какая-то нездоровая шутка. :)

Чувствуется, что сегодня в тему зашли зрелые люди (специалисты), которые видят в этом проблему и предлагают решения. А то вначале в основном поперла армия трололо-петросянов, которые считают такое поведение банковского сервиса нормой.

Спасибо.

Да там не дыра, а сплошное решето...
— можно снять (в крайнем случаи раньше можно было) деньги с карты в банкомате без самой карты...
Очевидно кто-то просто балуется (или тренируется) с вашим номером.
П. С. Могут сделать дубликат номера...

Очень похожая дырка была у Facebook в прошлом году (основана на шестизначном пароле в смс, и брутфорсе). Facebook дал $15000, сколько даст Приват? ))
news.softpedia.com/...​her-accounts-501449.shtml

Я думаю, что они ограничат вознаграждение 1 заблокированным моим аккаунтом. :-)

Скорее Земля начнет крутиться в другую сторону, чем в Украине дадут вознаграждение за такое.

П.С. У меня есть еще очень много советов, как улучшить страшно неудобный мобильный приват24, но, имхо, оно не нужно им. И таааак сойдет для клиентов.

Скорее Земля начнет крутиться в другую сторону, чем в Украине дадут вознаграждение за такое.

На ФБ была реальная уязвимость, а тут просто припекло у кого-то, видите разницу?

По поводу взлома особо не переживал, потому что онлайн оплата без моего подтверждения все равно не прошла бы

Хаха, ржу. У меня на той неделе сняли деньги 2 раза — 200 грн и 400 грн, без подтверждения. Приватбанк занялся «расследованием». Карту пришлось заблокировать навсегда и нужно получать новую. Хотя при чем тут карта, мне так и не обьяснили, так как я ею вообще не пользуюсь, в банкоматы не вставляю, и она нужна только для привязки счета в Приват24 и Liq-Pay.

Добрый день!
На Ваш номер телефона больше не будут поступать сообщения, также мы добавим ряд правил, которые исключат подобные случаи.
Приносим извинения за неудобства, с которыми Вам пришлось столкнуться.

Спасибо. Топик выполнил свою цель по защите юзеров.

разрабы приватбанка, вы полное днище!

такие формы ввода обычно от ботов прикрывают CAPTCHA
но не здесь...

меня это и удивило. Та же гугл капча решила бы проблему вмиг

Да, поскольку ЛикПей и Приватбанк сейчас у разных собственников, не помешает и ЛикПею сообщить. На дыру Привата наложена их дыра. Соответственно, у ЛикПея имеются все логи доступа.

Им думаю не составит труда блокануть ПОЛУЧАТЕЛЯ по этим транзакциям. Равно как и рассказать какая именно из ваших карт скомпроментирована. И отправить её в баню.

Но аккаунт на liqpay блокируется через почту отдела безопасности привата

А вот это уже номер! То есть через ЛикПей прежние владельцы Привата могут сосать бабло со счетов клиента. Тем более безопасники получается свои в доску.

И юридически будут пинать друг на друга.

PS. А есть там возможность лимитнуть по IP? Вероятнее всего да. То есть чтобы только Украиной ограничиться.

Все 3 оператора, описанные в статье были из приватбанка. Поэтому эти конторы, наверное, даже сидят в 1 здании.

Саппорт привата предлагал ограничить liqpay на 1 IP, но я сижу в интернете с разных ip, городов + мобильный. Поэтому бессмысленно. Заблокировал аккаунт. Все равно не пользовался этим сервисом.

Да всё они могут. Мой совет — обратись с другой проблемой, что кто-то балуется, а банк расходует десятки тысяч SMS. Не бесплатных. За это могут 3 года тюрьмы с ходу дать, и как правило дают.

Оно конечно мелочь в масштабах банка, но банки крайне негативно относятся когда деньги сливают у них, а не наоборот.

Что не ведётся лог доступа — пистёж, и это вам любой админ скажет.

Возможно вам будет лечге от того, что банк тут пострадавшая сторона.

Если у вас карта не именная — просто перевыпустите её. Будет другой номер, соответственно не совпадёт комбинация карта + номер.

PS. То что вас спамят, означает что кто-то уже знает ваш номер карты + CVV + срок действия.
Моментально сейчас через Приват24 или оператора установите НУЛЕВОЙ лимит для интернет-операций на все карты, привязанные к телефону.
И если не знаете данные какой из карт попали в паблик — придётся перевыпустить все.

спамили не через банковскую карту, а через попытки входа в аккаунт на сайте liqpay. Там нет пароля. Вход через временный пароль в смс.

Спасибо за советы. В привате лимиты не нулевые, но на все усиленная авторизация давно.

Что не ведётся лог доступа — пистёж, и это вам любой админ скажет.

Это же укр банк. Там всякое может быть. Я когда-то работал в 1 и уже стажировки написал по собственному, но дотянул работу отдела, пока не нашли замену.

На хабре за такую «статью» и заголовок карма быстро бы в минус ушла.

Тем не менее, дыра имеет место. Приватбанк позволяет ЛикПею брутфорсить SMS-пароль. А ЛикПей позволяет брутфорсить угадыванием платежа на одного получателя тысячи раз.

Дякую тобі, боже, що тут не хабр.

На хабре за коментарий который ни как не относится к теме обсуждения карма быстро бы в минус ушла.

Тот же вопрос. Автор, где дыра?))
з.ы. попробуйте не раздавать свой номер телефона налево и направо) авось и не будет спама от любой системы)
з.ы.ы везде, где есть возможность отправлять сообщения на авторизацию можно «таким» образом заспамить) так что ищите в ближнем окружении приколиста :)

Волонтерам, которые публикуют свой номер телефона и номер карты, вы тоже это посоветуете?

Более чем уверена, что волонтеры которые публикуют номера карт и свои телефоны:
1) к этому готовы
2) не факт что личные номера телефонов показывают.

Более чем уверен, что факт публикации номера своего телефона / карты хоть во всех газетах не должен приводить к спаму от банка

— У нас дыра в безопасности!!!111адын1!
— Слава богу, хоть что-то у нас в безопасности...

ТС, в чем смысл блокировки по IP адресу?

Во-первых, за одним IP адресом могут сидеть тыясчи кастомеров
Во-вторых, поменять IP адрес — минутное дело, в инете миллионы анонимных HTTP прокси.

Я же не писал о постоянном бане

Во-первых, не так чтоб миллионы. И далеко не все скриптописатели догадываются их оперативно менять.

Во-вторых, за операцией стоит получатель денег, и его можно заблеклистить аж с разбегу. Даже если не целого получателя, то конкретное назначение платежа + получателя.
Можно отписать в поддержку получателя, если это нормальный получатель (не скамер целиком), и потребовать блокировку эккаунта. Как правило охотно идут навстречу.

Странно, что до сих пор кто-то удивляется проблемам безопасности (и не только её) Привата. Если они спокойно дают номер телефона человека, который клиентом не является, своим агентам для спама только за получение посылки из почтомата, а различными приколами с счетами полон какой-нибудь минфин.ком.уа (туда можно продублровать, там девочки-сммщицы сидят и отвечают «от имени банка»), то и LiqPay априори всегда считался весьма спорным продуктом. Когда-то нужно было оплатить товар, а других опций не было, код из сообщения отказалось принимать, выкинуло и так далее.

В данной ситуации скорее очень настырная попытка использования рандомного номера. Скажите спасибо, что не верификация по звонку, когда тип нужно нажать на «1» для входа, а спросонья таки можно.

Кстати, слышал, что у нас можно за спам подать в суд на компенсацию за моральный ущерб, и вроде как кому-то, что-то компенсировали.. Но пруфов не видел..

Так, а где дыра то?

Возможность неограниченной подборки пароля брутфорсом — это не дыра? Пароль всегда 8 цифр

Так пароль разный постоянно.. Это же как совпасть должно..

Он же вам на телефон приходит. Или вы думаете что кто-то сможет угадать пароль из 8 цифр?

Всякое бывает. Вдруг робот угадает когда-то

Да.... Дырище... Самому не смешно от этой статьи? Тебя просто кто-то достает. Завтра выложат твой телефон на олх и скажут, что продаешь iphone 7 за 10 тысяч, тебе будут наяривать целый день. Потом можно будет ждать статью, что в олх детище?))))))) Ты смешон)

Олх следит за таким, знаю ровно о таком случае. Оператор олх перезвонил, уточнил. После получения отказа объявления снялись с активного

варианты в порядке убывания вероятности:
0. интеграция стороннего сервиса(например, donate на сайте с интеграцией в liqpay) с ошибкой, из-за которой один и тот же телефон используется
0а. корявый кодер, подключающий интеграцию, захардкодил номер ТСа случайно или по ошибке
1. скрипт-кид без мозгов и без плана
2. Кто-то узнал про уязвимость в алгоритме генерации секретных кодов(неравномерное распределение) и пытается наебать(в чём?) ТСа

Я примерно догадываюсь, кто за этим может стоять. И там действительно человек

без мозгов и без плана

:)

Сперва хотел просто заблокировать номер привата и не писать в поддержку. Но решил пройти путь до конца, чтобы узнать, как могут пострадать среднестатистические юзеры и описать это все.

3. Автор кого-то обидел и тот написал простого бота.

Тут мне кажется вообще не паханное поле для создания неприятностей для отдельно взятых неприятных людей, можно заставить и телефон поменять и почту, а если к wi-fi подключится, то можно и маски шоу накастовать попробовать..

Из сервиса государственного банка получился халявный спам сервис SMS.

режим зануды: это не спам, а dos по определению. правда, dos хилый, блокируется на раз.

на какой ума хватило, такой и сделали. Или вдруг программисты привата все же придумали хоть какой-то ограничитель.

Что-то после 200 смс за сутки совсем хило пошло. За последние 10 часов пришло только 28 штук. Наверное, атакующий устал и пошел спать

Наверное, атакующий устал и пошел спать

А представляешь, сидит там бедный чувак на том конце и раз за разом вводит неправильно свой номер телефона, ждёт смску и клянёт этот гребанный приматбанк %)

Я бесплатно делюсь в интернете информацией, которую барыги продают на закрытых форума за сотни и тысячи долларов (в том числе и мою же pasha4ur.org.ua/...​-ipad-2-3g-icloud-locked). Поэтому я привык давно к попыткам взлома и заказам на меня от конкурентов.

еще кто-то умудрился на моей имейл зарегистрировать iPad во вьетнамском iCloud (я никогда не регистрировался там) и планшет украли. Новый владелец краденного активно заказывает взломы меня, чтобы отвязать краденный девайс и вывести из состояния Lost & blocked. Но даже я не могу зайти в тот аккаунт или восстановить доступ, потому что не знаю секретных вопросов и ответов на них. :)

Вполне может. Если долго мучаться, тем более за счёт банка — то когда-нибудь возможно и повезёт. Но скорее всего «повезёт» на три года колонии.

SMS с паролем можно перехватить, собственно поэтому последний при финансовых транзакциях обычно — только часть мультифакторной аутентификации

Я тоже про это подумал, поэтому и решил создать тему с таким названием.
Но не знаю, как перехватывают. Наверное, переносной ретранслятор, который блокирует телефон, принимает/читает смс и потом перенаправляет оригинальное смс жертве.

Все проще, через оператора делают «замену потерянной симки». И пока ты разбираешься, почему нет сети, делают все, что нужно..

Симки зарегистрированы везде у операторов на мои ФИО.

Но спасибо за информацию

Контракт?
В любом случаи, тут вопрос, на сколько финансово интересно вас взламывать

SMS sniffer можна придбати за ~$300, правда треба знаходитись в межах досяжності тієї самої бази

Где эта возможность? Я ее не вижу. Liqpay шлет тебе пароль в телефон — каким конкретно образом его кто-то «подбирает»?

К тому моменту когда идёт проверка пароля, уже прошла проверка номера карты, CVV, срока действия. Кто растрепал эти данные — посмотри в справочнике «зеркало».

Привет.

Это сыпали не через оплату.

На сайт LiqPay можно войти в свой аккаунт. В логине вводишь номер телефона и на него приходит смс с паролем для входа.

Но со вчерашнего обеда 0 смс. Устал человек или мышка сломалась. :)

Мдя. Фотодос’є збирали на людей, що випадково зайшли у відділення комуналку оплатити, кредитні картки всучували ні в чому не винним пенсіонерам, виявляється і лікпей відкривали самі кому хтіли. Привіт на останок від дубілетів фанатам приват24.

Только вчера отключал маме (пенсионерке) кредит на обычной карте. Отказывалась, но влепили на несколько тысяч, и отображался как обычные деньги.

Ликпей не требует регистрации. Он работает через общее API, и вместо него может быть кто угодно. Но только Ликпей вероятно пользуется недокументированными возможностями, например имеет более высокий уровень доверия. Потому и не банят за SMS-спам.

Но самому ЛикПею счёт выставят. У них теперь с банком разные собственники :)

это, конечно, проблема.
но речь не о взломе аккаунта.
если получится угадать пароль, то в терминале (и в Приват 24,возможно) появится дополнительный элемент «ожидает оплаты»
возможно, это целенаправленно долбят вас, и это скорее фишинг такой — в счёте, который будет сформирован, заголовок будет выглядеть как-то типа «срочное погашение кредиторской задолженности», шоб жертву вывести из равновесия.

в описании смущает только тот пункт, что даже после блокирования продолжается.

можно ещё оператора дёрнуть. типа, поток спама, что делать? может, заблокирует.

Я вернул обратно номер в черный список. Уже смс не отображаются.

Но надежность банка в моих глазах значительно снизилась.

кстати, если это таки пароль не на авторизацию(бо не помню, чтоб там пароль отдельный нужен был) а на добавление платежа, то можно наверняка выяснить, какой из отправителей делает такой запрос.
да, тогда ответы поддержки звучат нелогично, но я бы не удивился — сталкивался с тем, что на все операторы даже знают, что это у ПБ за сервис такой

Вроде, это пароль на авторизацию. Но я не использовал его при входе, а зашел через сканер QR-кода.

Тупо как-то, что невозможно отследить и заблокировать ip.

Причем тут надежность? Ни дыры, ни взлома, ничего. Уверен, что спамить так можно через любой другой украинский банк.

Подписаться на комментарии