Ахтунг! У Приватбанка дыра в системе безопасности

Всем привет.

Несколько дней назад я начал получать огромный поток SMS.

Parol Liq-Pay: 12-34-56-78 Ne peredavayte etot parol nikomu. www.liqpay.ua

i.piccy.info/...9_197_com_android_mms.png

За ночь приходило по 70 SMS. Хорошо, что мой телефон автоматически переходит в беззвучный режим ночью. 80 смс с последней чистки ночью:

i.piccy.info/..._teslacoilsw_launcher.png

Никогда не пользовался Liq-Pay (даже не знал, что это) и поэтому был удивлен, что меня достают. Зашел на сайт Liq-Pay и увидел внизу, что это сервис Приватбанка. По поводу взлома особо не переживал, потому что онлайн оплата без моего подтверждения все равно не прошла бы. Хотел просто заблокировать номер Liq-Pay на мобильном, но решил сперва написать в тех поддержку Приватбанка.

Писал 3 раза непродолжительно, чтобы попасть на разных операторов (у привата есть откровенные чайники в тех саппорте).

Оператор № 1 ответил, что это не взлом. Просто кто-то постоянно вводит мой номер телефона на сайте и запрашивает смс с паролем для входа. Ничего страшного в этом нет. Наверное, про подбор паролей из цифр с помощью брутфорса он не знает.

Оператор № 2 ответила, что система защиты Приватбанка ничего не может с этим поделать. Я спросил, почему их система не блокирует атакующего по IP после Х запросов смс с паролем. Сказали, что единственный возможный способ узнать IP — это удачный вход. Пока удачно не вошли, ничего сделать не могут. То есть можно и дальше брутфорсить до посинения. Банк ничего не сделает.

Оператор № 3 ответила практически тоже самое, но сказала, что IP в системе отслеживается только по удачно выполненным финансовым транзакциям. То есть еще хуже чем в первом случае.

Оператор № 2 и № 3 сказали, что единственный возможный способ защитить клиента от банка от взлома через сервис Liq-Pay от Приватбанка — это забанить клиента в некоторых сервисах. Я ими все равно не пользовался.

Пока ждал ответы от оператора чата, приходило по 5-6 смс с паролями.

Я, конечно, и раньше подозревал, что профессиональные навыки программистов и дизайнеров Приватбанка заканчиваются на создании тупых картинок с гопниками и проститутками для главной страницы Приват24. Но меня очень удивило, что у главного банка (уже государственного) страны нет базовой защиты, которая даже в бесплатных плагинах Wordpress 5-7 летней давности.

Операторы предоставили мне инструкцию, как я могу заблокировать себя, чтобы меня не взломали. Для этого нужно написать в службу безопасности банка:

Обращаем Ваше внимание на то, что платежные данные карты(срок действия и CVV2 код) в системе не хранится. Для блокировки аккаунта, пожалуйста, напишите письмо на e-mail [email protected] с просьбой заблокировать аккаунт и указанием причины его блокировки. В письме укажите Ваш логин, ФИО и адрес, который указан при регистрации в LiqPay.

Дальше было еще интереснее.

Я решил впервые в жизни войти в Liq-Pay. Оказалось, что Приватбанк сам зарегистрировал меня там. В аккаунте был указан только номер телефона. Ни ФИО, ни адреса, ни емейла из системы Приват24. Ввел их в аккаунте и отправил письмо в службу безопасности банка. Пришло письмо:

Добрый день!
Уточните, пожалуйста, на какой номер Вам приходят смс в таком количестве? Проблема ещё актуальна?
Спасибо за обращение!

Им даже лень зайти в свою систему и проверить.

После ответа пришло письмо с информацией, что мой аккаунт Liq-Pay заблокирован.

Вчера ради интереса снял блокировку с того номера телефона. SMS продолжают литься потоком. Отправил письмо в службу безопасности банка. Ответили, что мой аккаунт уже был заблокирован. Отправил им скриншоты потока смс — больше не отвечают. Наверное, не знают, что делать.

Попробовал ради интереса зайти в Liq-Pay — доступ заблокирован. Зачем тогда слать смс? Можно же проверил блокировку аккаунта до запроса информации для входа. Не нужно быть гением, чтобы додуматься до этого.

Получается, что есть 2 варианта:
1. Вам нужен Liq-Pay — живите со спамом SMS и ожидайте взлом аккаунта.
2. Вам не нужен Liq-Pay — живите со спамом SMS.

Хорошо, что у меня можно блокировать номера.

Вот такая вот защита наших финансов в Приватбанке.

П.С. Описание последовавших далее атак: pasha4ur.org.ua/...windler-on-internet#pirat

Теми: ПриватБанк

Ctrl + Enter

Павло Марчюк 18.02.2019 22:51

Приват це Шахрїі, оні людей обвіняют в шахраїстві хотя самі шахраії. І за ніх я воював, да горіті ви проподам

Відповісти

Підтримати

Just Listen 20.12.2018 05:12

Подобрать смс-код не выйдет, так как он стает недействительным после 3-10 попыток подбора. Максимум что могут делать — вас спамить. Это не дыра, а отсутствие rate-limiting на запрос СМС, и такое много где есть. Если бы не было code expiration — была бы дыра. Кроме того, каждая новая СМС сбрасывает старый OTP-код, что само по себе мешает брутфорсу. Поэтому вас просто спамили. Для брутфорса было достаточно одной СМС, и 90 000 000 запросов на перебор 8-значного кода. Если отсутствует code expiration конечно:) Можно конечно предположить, что кучей СМС атакующий пытался обойти code expiration (авось 5-10 попыток до экспайра хватит), но шанс такого дела на успех меньше, чем выиграть квартиру в лотерее, если быть конкретным — один до девяти милионов в случае 8-значного цифрового кода.

По нормальному — да, rate limiting на отправку смс должен быть, тут вы абсолютно правы. Но это не дыра, это missing best practice, как говорят в забугорном infosec. Такой же например является отсутствие двухфакторной аутентификации.

Gremlin 12.02.2018 16:17

в Приват-24 для бизнеса нет смены пароля входа.
особенно это интересно после утечки данных в декабре 2017
economics.unian.net/...h-klientov-dubinskiy.html

т.е. подозревая, что пароль утёк, его не сменишь?
и ещё есть любители давать пароль бухгалтеру,
получается, даришь насовсем))

Gremlin 12.02.2018 16:25

Pavel 12.02.2018 17:02

Я менял пароль через веб-сайт

Атака, про которую я написал в этом посте, не была направлена против всего банка, а лишь против меня.

Это у одного «успешного» человека, который называет людей на форуме «говноедами», «быдлом» и «нищебродами», так бомбануло от меня, что потом начали атаковать мой сайт, создали мошеннические сайты от моего имени и даже раскидали по всем площадкам объявления от моего лица о потере документов.

Здесь подробнее: pasha4ur.org.ua/...windler-on-internet#pirat

Сейчас атакующий «гений» заказывает на сео-площадках переходы и клики по рекламным баннерам на моем сайте. Зарабатывает деньги мне. =)

Иногда, конечно, ддосят, но неуспешно

Gremlin

Gremlin 12.02.2018 17:32

для физ лица — можно поменять,
а для бизнеса — нет.

Pavel

Pavel 12.02.2018 21:52

Я думаю, что при желании проблема решается через сам банк

Gremlin 13.02.2018 15:45

я уже проверил — не решается.
пароль на вход в ЧП ПБ задаётся при регистрации, и всё.
можете перепроверить.

anonymous 13.02.2018 16:18

Pavel 13.02.2018 16:48

Ужас, интересно что движет такими людьми.

В данной ситуации это может сказать только доктор.

В полицию не пробовали обращаться?

Все уже готово. Осталось допечатать заявление и отнести в киберполицию.

Раньше было жалко. Все-таки своими атаками гений нагонял большой объем трафика на мой сайт. Это приносило бонусы за просмотры рекламы.

С января уже стало меньше намного (поумнел или растратился). Можно уже сдавать его.

anonymous

max dz 05.09.2017 01:52

Укробанки? Это какая-то нездоровая шутка. :)

Pavel 04.09.2017 18:12

Чувствуется, что сегодня в тему зашли зрелые люди (специалисты), которые видят в этом проблему и предлагают решения. А то вначале в основном поперла армия трололо-петросянов, которые считают такое поведение банковского сервиса нормой.

Спасибо.

Vladimir Chevalier 04.09.2017 17:54

Да там не дыра, а сплошное решето...
— можно снять (в крайнем случаи раньше можно было) деньги с карты в банкомате без самой карты...
Очевидно кто-то просто балуется (или тренируется) с вашим номером.
П. С. Могут сделать дубликат номера...

anonymous 04.09.2017 17:27

Pavel 04.09.2017 18:09

Я думаю, что они ограничат вознаграждение 1 заблокированным моим аккаунтом. :-)

Скорее Земля начнет крутиться в другую сторону, чем в Украине дадут вознаграждение за такое.

П.С. У меня есть еще очень много советов, как улучшить страшно неудобный мобильный приват24, но, имхо, оно не нужно им. И таааак сойдет для клиентов.

Artyom Krivokrisenko 04.09.2017 22:46

На ФБ была реальная уязвимость, а тут просто припекло у кого-то, видите разницу?

Чорний Список Юджина 04.09.2017 16:25

По поводу взлома особо не переживал, потому что онлайн оплата без моего подтверждения все равно не прошла бы

Хаха, ржу. У меня на той неделе сняли деньги 2 раза — 200 грн и 400 грн, без подтверждения. Приватбанк занялся «расследованием». Карту пришлось заблокировать навсегда и нужно получать новую. Хотя при чем тут карта, мне так и не обьяснили, так как я ею вообще не пользуюсь, в банкоматы не вставляю, и она нужна только для привязки счета в Приват24 и Liq-Pay.

Дмитро Козачук 04.09.2017 14:59

Добрый день!
На Ваш номер телефона больше не будут поступать сообщения, также мы добавим ряд правил, которые исключат подобные случаи.
Приносим извинения за неудобства, с которыми Вам пришлось столкнуться.

Pavel 04.09.2017 15:10

Спасибо. Топик выполнил свою цель по защите юзеров.

Дмитро Козачук

qwerty .qwerty 04.09.2017 15:50

разрабы приватбанка, вы полное днище!

Юлия Федорова 12.10.2019 15:10

Дмитрий у меня та же проблема !!!! Пожалуйста свяжитесь со мной или устраните ее 0967872965 Умаляю !!!!

Oleg Korol POWER Ops, again 04.09.2017 14:07

такие формы ввода обычно от ботов прикрывают CAPTCHA
но не здесь...

Pavel 04.09.2017 14:32

меня это и удивило. Та же гугл капча решила бы проблему вмиг

Oleg Korol

Олексій Пєніє 04.09.2017 13:15

Да, поскольку ЛикПей и Приватбанк сейчас у разных собственников, не помешает и ЛикПею сообщить. На дыру Привата наложена их дыра. Соответственно, у ЛикПея имеются все логи доступа.

Им думаю не составит труда блокануть ПОЛУЧАТЕЛЯ по этим транзакциям. Равно как и рассказать какая именно из ваших карт скомпроментирована. И отправить её в баню.

Pavel 04.09.2017 13:18

Но аккаунт на liqpay блокируется через почту отдела безопасности привата

Олексій Пєніє

Олексій Пєніє 04.09.2017 14:12

А вот это уже номер! То есть через ЛикПей прежние владельцы Привата могут сосать бабло со счетов клиента. Тем более безопасники получается свои в доску.

И юридически будут пинать друг на друга.

PS. А есть там возможность лимитнуть по IP? Вероятнее всего да. То есть чтобы только Украиной ограничиться.

Все 3 оператора, описанные в статье были из приватбанка. Поэтому эти конторы, наверное, даже сидят в 1 здании.

Саппорт привата предлагал ограничить liqpay на 1 IP, но я сижу в интернете с разных ip, городов + мобильный. Поэтому бессмысленно. Заблокировал аккаунт. Все равно не пользовался этим сервисом.

Олексій Пєніє 04.09.2017 12:56

Да всё они могут. Мой совет — обратись с другой проблемой, что кто-то балуется, а банк расходует десятки тысяч SMS. Не бесплатных. За это могут 3 года тюрьмы с ходу дать, и как правило дают.

Оно конечно мелочь в масштабах банка, но банки крайне негативно относятся когда деньги сливают у них, а не наоборот.

Что не ведётся лог доступа — пистёж, и это вам любой админ скажет.

Возможно вам будет лечге от того, что банк тут пострадавшая сторона.

Если у вас карта не именная — просто перевыпустите её. Будет другой номер, соответственно не совпадёт комбинация карта + номер.

PS. То что вас спамят, означает что кто-то уже знает ваш номер карты + CVV + срок действия.
Моментально сейчас через Приват24 или оператора установите НУЛЕВОЙ лимит для интернет-операций на все карты, привязанные к телефону.
И если не знаете данные какой из карт попали в паблик — придётся перевыпустить все.

Pavel 04.09.2017 13:17

спамили не через банковскую карту, а через попытки входа в аккаунт на сайте liqpay. Там нет пароля. Вход через временный пароль в смс.

Спасибо за советы. В привате лимиты не нулевые, но на все усиленная авторизация давно.

Это же укр банк. Там всякое может быть. Я когда-то работал в 1 и уже стажировки написал по собственному, но дотянул работу отдела, пока не нашли замену.

Yuri Kravchik Senior Java developer 04.09.2017 12:42

На хабре за такую «статью» и заголовок карма быстро бы в минус ушла.

Олексій Пєніє 04.09.2017 13:12

Тем не менее, дыра имеет место. Приватбанк позволяет ЛикПею брутфорсить SMS-пароль. А ЛикПей позволяет брутфорсить угадыванием платежа на одного получателя тысячи раз.

Yuri Kravchik

Andriy Kunitsin Software Engineer в GlobalLogic 04.09.2017 16:14

Дякую тобі, боже, що тут не хабр.

Yuriy Myronovych Senior Android Developer at Discovery 04.09.2017 17:47

На хабре за коментарий который ни как не относится к теме обсуждения карма быстро бы в минус ушла.

Виктория Викторовская 04.09.2017 12:34

Тот же вопрос. Автор, где дыра?))
з.ы. попробуйте не раздавать свой номер телефона налево и направо) авось и не будет спама от любой системы)
з.ы.ы везде, где есть возможность отправлять сообщения на авторизацию можно «таким» образом заспамить) так что ищите в ближнем окружении приколиста :)

Богдан Сокульський Senior Software Engineer в N-iX 04.09.2017 15:18

Волонтерам, которые публикуют свой номер телефона и номер карты, вы тоже это посоветуете?

Виктория Викторовская

Виктория Викторовская 04.09.2017 16:28

Более чем уверена, что волонтеры которые публикуют номера карт и свои телефоны:
1) к этому готовы
2) не факт что личные номера телефонов показывают.

Богдан Сокульський

Богдан Сокульський Senior Software Engineer в N-iX 04.09.2017 17:19

Более чем уверен, что факт публикации номера своего телефона / карты хоть во всех газетах не должен приводить к спаму от банка

Dima Kravtsov Software Developer в Dutch Energy company 04.09.2017 12:29

— У нас дыра в безопасности!!!111адын1!
— Слава богу, хоть что-то у нас в безопасности...

Artyom Krivokrisenko 04.09.2017 03:58

ТС, в чем смысл блокировки по IP адресу?

Во-первых, за одним IP адресом могут сидеть тыясчи кастомеров
Во-вторых, поменять IP адрес — минутное дело, в инете миллионы анонимных HTTP прокси.

Pavel 04.09.2017 10:38

Я же не писал о постоянном бане

Artyom Krivokrisenko

Олексій Пєніє 04.09.2017 13:02

Во-первых, не так чтоб миллионы. И далеко не все скриптописатели догадываются их оперативно менять.

Во-вторых, за операцией стоит получатель денег, и его можно заблеклистить аж с разбегу. Даже если не целого получателя, то конкретное назначение платежа + получателя.
Можно отписать в поддержку получателя, если это нормальный получатель (не скамер целиком), и потребовать блокировку эккаунта. Как правило охотно идут навстречу.

Andrii Dykhlin Senior System Engineer 03.09.2017 22:09

Странно, что до сих пор кто-то удивляется проблемам безопасности (и не только её) Привата. Если они спокойно дают номер телефона человека, который клиентом не является, своим агентам для спама только за получение посылки из почтомата, а различными приколами с счетами полон какой-нибудь минфин.ком.уа (туда можно продублровать, там девочки-сммщицы сидят и отвечают «от имени банка»), то и LiqPay априори всегда считался весьма спорным продуктом. Когда-то нужно было оплатить товар, а других опций не было, код из сообщения отказалось принимать, выкинуло и так далее.

В данной ситуации скорее очень настырная попытка использования рандомного номера. Скажите спасибо, что не верификация по звонку, когда тип нужно нажать на «1» для входа, а спросонья таки можно.

Александр Шевченко Java developer 03.09.2017 20:15

Кстати, слышал, что у нас можно за спам подать в суд на компенсацию за моральный ущерб, и вроде как кому-то, что-то компенсировали.. Но пруфов не видел..

Михаил Колядинцев 04.09.2017 09:32

Можно. Но не банк, а на самого спамера.

Александр Шевченко

Ярослав Шутко Startupster 03.09.2017 19:03

Так, а где дыра то?

Pavel 03.09.2017 20:05

Возможность неограниченной подборки пароля брутфорсом — это не дыра? Пароль всегда 8 цифр

Ярослав Шутко

Александр Шевченко Java developer 03.09.2017 20:10

Так пароль разный постоянно.. Это же как совпасть должно..

Ярослав Шутко Startupster 03.09.2017 20:13

Он же вам на телефон приходит. Или вы думаете что кто-то сможет угадать пароль из 8 цифр?

Pavel 03.09.2017 20:36

Всякое бывает. Вдруг робот угадает когда-то

Pavel Zakharov 04.09.2017 08:56

Да.... Дырище... Самому не смешно от этой статьи? Тебя просто кто-то достает. Завтра выложат твой телефон на олх и скажут, что продаешь iphone 7 за 10 тысяч, тебе будут наяривать целый день. Потом можно будет ждать статью, что в олх детище?))))))) Ты смешон)

Денис Ремишевский 04.09.2017 09:57

Олх следит за таким, знаю ровно о таком случае. Оператор олх перезвонил, уточнил. После получения отказа объявления снялись с активного

Pavel Zakharov

Євген Козлов Front-end developer в SoftServe 03.09.2017 21:56

варианты в порядке убывания вероятности:
0. интеграция стороннего сервиса(например, donate на сайте с интеграцией в liqpay) с ошибкой, из-за которой один и тот же телефон используется
0а. корявый кодер, подключающий интеграцию, захардкодил номер ТСа случайно или по ошибке
1. скрипт-кид без мозгов и без плана
2. Кто-то узнал про уязвимость в алгоритме генерации секретных кодов(неравномерное распределение) и пытается наебать(в чём?) ТСа

Pavel 03.09.2017 22:11

Я примерно догадываюсь, кто за этим может стоять. И там действительно человек

без мозгов и без плана

Сперва хотел просто заблокировать номер привата и не писать в поддержку. Но решил пройти путь до конца, чтобы узнать, как могут пострадать среднестатистические юзеры и описать это все.

Євген Козлов

Александр Шевченко Java developer 04.09.2017 00:00

3. Автор кого-то обидел и тот написал простого бота.

Тут мне кажется вообще не паханное поле для создания неприятностей для отдельно взятых неприятных людей, можно заставить и телефон поменять и почту, а если к wi-fi подключится, то можно и маски шоу накастовать попробовать..

Pavel 04.09.2017 00:18

Из сервиса государственного банка получился халявный спам сервис SMS.

Євген Козлов Front-end developer в SoftServe 04.09.2017 00:33

режим зануды: это не спам, а dos по определению. правда, dos хилый, блокируется на раз.

Pavel 04.09.2017 00:36

на какой ума хватило, такой и сделали. Или вдруг программисты привата все же придумали хоть какой-то ограничитель.

Что-то после 200 смс за сутки совсем хило пошло. За последние 10 часов пришло только 28 штук. Наверное, атакующий устал и пошел спать

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 04.09.2017 02:10

Наверное, атакующий устал и пошел спать

А представляешь, сидит там бедный чувак на том конце и раз за разом вводит неправильно свой номер телефона, ждёт смску и клянёт этот гребанный приматбанк %)

Pavel 04.09.2017 00:26

Я бесплатно делюсь в интернете информацией, которую барыги продают на закрытых форума за сотни и тысячи долларов (в том числе и мою же pasha4ur.org.ua/...-ipad-2-3g-icloud-locked). Поэтому я привык давно к попыткам взлома и заказам на меня от конкурентов.

еще кто-то умудрился на моей имейл зарегистрировать iPad во вьетнамском iCloud (я никогда не регистрировался там) и планшет украли. Новый владелец краденного активно заказывает взломы меня, чтобы отвязать краденный девайс и вывести из состояния Lost & blocked. Но даже я не могу зайти в тот аккаунт или восстановить доступ, потому что не знаю секретных вопросов и ответов на них. :)

Олексій Пєніє 04.09.2017 13:06

Вполне может. Если долго мучаться, тем более за счёт банка — то когда-нибудь возможно и повезёт. Но скорее всего «повезёт» на три года колонии.

Oleg Korol POWER Ops, again 04.09.2017 14:02

SMS с паролем можно перехватить, собственно поэтому последний при финансовых транзакциях обычно — только часть мультифакторной аутентификации

Pavel 04.09.2017 14:10

Я тоже про это подумал, поэтому и решил создать тему с таким названием.
Но не знаю, как перехватывают. Наверное, переносной ретранслятор, который блокирует телефон, принимает/читает смс и потом перенаправляет оригинальное смс жертве.

Александр Шевченко Java developer 04.09.2017 14:38

Все проще, через оператора делают «замену потерянной симки». И пока ты разбираешься, почему нет сети, делают все, что нужно..

Pavel 04.09.2017 14:41

Симки зарегистрированы везде у операторов на мои ФИО.

Но спасибо за информацию

Александр Шевченко Java developer 04.09.2017 14:57

Контракт?
В любом случаи, тут вопрос, на сколько финансово интересно вас взламывать

Євген Хуторний IoT Consultant 04.09.2017 16:50

SMS sniffer можна придбати за ~$300, правда треба знаходитись в межах досяжності тієї самої бази

Andrii Serhiienko 04.09.2017 09:20

Где эта возможность? Я ее не вижу. Liqpay шлет тебе пароль в телефон — каким конкретно образом его кто-то «подбирает»?

Олексій Пєніє 04.09.2017 13:05

К тому моменту когда идёт проверка пароля, уже прошла проверка номера карты, CVV, срока действия. Кто растрепал эти данные — посмотри в справочнике «зеркало».

Pavel 04.09.2017 13:13

Привет.

Это сыпали не через оплату.

На сайт LiqPay можно войти в свой аккаунт. В логине вводишь номер телефона и на него приходит смс с паролем для входа.

Но со вчерашнего обеда 0 смс. Устал человек или мышка сломалась. :)

anonymous 03.09.2017 18:42

Pavel 03.09.2017 20:06

Только вчера отключал маме (пенсионерке) кредит на обычной карте. Отказывалась, но влепили на несколько тысяч, и отображался как обычные деньги.

Олексій Пєніє 04.09.2017 13:09

Ликпей не требует регистрации. Он работает через общее API, и вместо него может быть кто угодно. Но только Ликпей вероятно пользуется недокументированными возможностями, например имеет более высокий уровень доверия. Потому и не банят за SMS-спам.

Но самому ЛикПею счёт выставят. У них теперь с банком разные собственники :)

Євген Козлов Front-end developer в SoftServe 03.09.2017 17:39

это, конечно, проблема.
но речь не о взломе аккаунта.
если получится угадать пароль, то в терминале (и в Приват 24,возможно) появится дополнительный элемент «ожидает оплаты»
возможно, это целенаправленно долбят вас, и это скорее фишинг такой — в счёте, который будет сформирован, заголовок будет выглядеть как-то типа «срочное погашение кредиторской задолженности», шоб жертву вывести из равновесия.

в описании смущает только тот пункт, что даже после блокирования продолжается.

можно ещё оператора дёрнуть. типа, поток спама, что делать? может, заблокирует.

Pavel 03.09.2017 18:24

Я вернул обратно номер в черный список. Уже смс не отображаются.

Но надежность банка в моих глазах значительно снизилась.

Євген Козлов Front-end developer в SoftServe 03.09.2017 21:58

кстати, если это таки пароль не на авторизацию(бо не помню, чтоб там пароль отдельный нужен был) а на добавление платежа, то можно наверняка выяснить, какой из отправителей делает такой запрос.
да, тогда ответы поддержки звучат нелогично, но я бы не удивился — сталкивался с тем, что на все операторы даже знают, что это у ПБ за сервис такой

Pavel 03.09.2017 22:09

Вроде, это пароль на авторизацию. Но я не использовал его при входе, а зашел через сканер QR-кода.

Тупо как-то, что невозможно отследить и заблокировать ip.

Andrii Serhiienko 04.09.2017 09:23

Причем тут надежность? Ни дыры, ни взлома, ничего. Уверен, что спамить так можно через любой другой украинский банк.

Ахтунг! У Приватбанка дыра в системе безопасности

Схожі топіки

76 коментарів

Підписатись на коментарі

Новини