Украинский программист сообщил ПриватБанку о найденной уязвимости, а в ответ получил обвинение в мошенничестве

Yurko Khvist 15.10.2013 05:09

Я в день провожу около 20 диалогов с клиентами в Facebook. Это не просто, порой из-за этого не можешь полночи заснуть, но это очень полезно для банка.

какое мимими, бозе-бозе, прям слезки умиления из глазонек

Год назад наш председатель правления сказал, что мы «недостаточно быстро бежим» в развитии своего понимания технологий для смартфонов. Тогда каждый топ-менеджер получил указание лично запустить мобильное приложение, причем не обязательно банковское (программировать, конечно, не заставляли, но подготовить и защитить мокап на Axure или Базилике должен был каждый). В итоге у нас появились десятки приложений, большинство из которых, правда, так никогда и не попало во внешний мир.

пи-пи-пи...ц © живой классик

вот то-то что сей плод нечистого бениного семени (я за превед-банк, ежели что) ни делает — все кпсс получается

а пацанчик хорош, чисто канкретно
попомните мое слово — хорошую карьеру в этой стране сделает

Sergii Voloshyn

св Антоний 26.09.2013 23:02

Я вот лично после того, как увидел, как работают американские банки с транзакциям по кредитным картам, вообще в шоке с отечественных банков. Вот у нас, например, как: если с твоей карты стырили деньги — значит, сам дурак. Даже если карту украли, а потом все с нее вынесли — это личное горе пострадавшего. Т.е., изначально презумпция виновности. А там не так совсем (и из-за чего добавляется головняка на написание антифрод-системы). Там если ты видишь, что какую-то транзакцию не проводил, особенно если украли карту, и не успел ее заблокировать, — ты просто ее оспариваешь, хоть даже в телефонном режиме. И сразу же тебе банк эту сумму возвращает. А потом уже идет анальная кара: или могут наказать мерчанта, которому по этой транзакции сумма зачислилась, как минимум — забрать деньги обратно, или посадить в тюрьму заявителя за мошенничество + пожизненный бан ему в кредитную историю. Итого: оплачивается предоплаченный сервис ворованной кредиткой, его использовали, а потом БАЦ — и с мерчанта забирают эту же сумму на ровном месте ) Страдают там компании — мерчанты от фродстеров и кардеров довольно сильно. А не простые смертные граждане.

John Wane 28.09.2013 00:25

Не забывайте про законодательное урегулирование в США этих рисков — $50 максимум.
Electronic Fund Transfer Act

А Украина богатая страна — 1500 грн
Про здійснення операцій з використанням спеціальних платіжних засобів
6.9. Користувач, як виняток, до часу подання повідомлення
та/або заяви емітенту несе збитки, обумовлені незаконними
діями/сумнівними операціями зі спеціальними платіжними засобами,
які відбулися в результаті використання втраченого спеціального
платіжного засобу, до максимальної суми, яка не може перевищувати
1 500 гривень, крім випадків, коли користувач діяв з порушенням
правил використання спеціального платіжного засобу або умисно, у
разі чого така максимальна сума не застосовується.

Причем и даже это не работает. В договоре с ПриватБанком описана полная ответственность клиента ( 1.1.5.13 из privatbank.ua/.../01092013ru.pdf )

Плюс такой момент как подача заявки через Приват24 на открытие карты для каких-то рисковых стран — это до договору принятие клиентом ответственности за все операции ( 2.1.1.9.7. и 2.1.1.9.8.)

Также как и установка лимита для оплаты в Интернет — тоже ПриватБанк договором снимает с себя риски ( 2.7.6.10.12. )

св Антоний

св Антоний 28.09.2013 02:11

Electronic Fund Transfer Act

Многа букаф ни асилил. Но то, что $50 — это не максимум — это уж поверьте.

John Wane

Vitalii Lagutin 10.09.2013 16:38

честно говоря просто за такое приложение привату должно быть стыдно. оно работает через пень колоду. слава богу что не крешится на каждом шагу.

Max Fomenko Principal BigData Consultant в Hitachi Vantara 13.09.2013 18:06

Кто сказал что не крешится? Крешится на айфоне еще как.
А еще недавно логин в Приват24 приложение на телефоне упростили, типа зачем присылать при логине смс-ку на телефон с которого собственно человек и так логинится. Все вроди бы логично, только при этом забыли поставить проверку что телефонный номер того телефона с которого логинятся совпадает с телефонным номером акаунта, в которых производят вход.

Итог — можно логиниться в приложение Приват24 под любым юзером зная только его первый пароль.

Vitalii Lagutin

Viacheslav 14.09.2013 20:46

На Android часто вылетает, особенно после апдейта на маркете

Max Fomenko

Вера Кузнецова 10.09.2013 14:53

На хабре появилось
habrahabr.ru/post/193204
Комменты порадовали:
Прикол из жизни.
Я завел в аккаунт ПБ свою штатовскую карту, а через 12 часов мне позвонили из Визы за разрешением блокировать карту — ею уже пытались уплатить на украинской автозаправке.

Mikhail Boiko SE в NVIDIA 10.09.2013 16:21

Вы еще в паре мест ваше сообщение продублируйте. Ну так, для надежности. А то вдруг, мало ли что бывает. Сами знаете.

Антон Харуйманов 09.09.2013 18:12

Пошёл он в жопу этот приват.
Почему люди туда до сих пор добровольно идут клиентами быть?

Maksym Mospanenko Software Engineer 10.09.2013 12:33

А куда?

Антон Харуйманов

Kostyantyn Derets Agile Process Consultant 10.09.2013 14:04

Ну по расчетно-кассовому обслуживанию ему нет равных, к сожалению

Антон Харуйманов

Dima Meshkov Sr Developer в K+K 10.09.2013 14:28

Костя, а почему «к сожалению»?

Kostyantyn Derets

Dima Meshkov Sr Developer в K+K 10.09.2013 14:29

И, кстати, история немного переврана СМИшниками kpishnik.kpi.ua/archives/1114
Думаю, парню заплатят таки за обнаружение дыры, а виновных сильно покарают

Kostyantyn Derets Agile Process Consultant 10.09.2013 14:31

Ну просто если бы были достойные альтернативы, то я бы уже давно сменил банк... Но их пока нет... А в остальном, что касается других банковских услуг, то приват по сути аутсайдер

Dima Meshkov Sr Developer в K+K 10.09.2013 14:36

С точки зрения удобства пользования — не вижу проблем кроме банкоматов подтупливающих. А так — всё достаточно удобно и наглядно. С безопасностью тоже проблем нет. Мне кажется, что у тебя остались предубеждения ещё с тех пор, когда Приват действительно не думал о своих клиентах =)

Kostyantyn Derets

Вера Кузнецова 10.09.2013 14:54

Простите за оверквотинг, но спёрто с Хабра:
=Прикол из жизни.
Я завел в аккаунт ПБ свою штатовскую карту, а через 12 часов мне позвонили из Визы за разрешением блокировать карту — ею уже пытались уплатить на украинской автозаправке. =

Maksym Mospanenko Software Engineer 26.09.2013 22:27

я ж это только что прочитал тут выше... и на хабру не ходи =)

anonymous 10.09.2013 17:52

В тех поддержки привата работает быдло, могут послать или просто выйти из чата

Dima Meshkov Sr Developer в K+K 11.09.2013 10:19

Денис, насколько мне известно, каждый клиент имеет возможность поставить оценку компетентности обслуживающего его сотрудника банка — после обращения в колл-центр клиенту поступает автоматический звонок с просьбой оценить работу. И не совсем понятно, почему вы пишете о «быдле» тут, а не сообщаете в горячую линию ПриватБанка.

anonymous

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 11.09.2013 10:25

С таким же успехом можно позвонить в рельсу, которая висит при входе.

Dima Meshkov Sr Developer в K+K 11.09.2013 10:29

Ок. Тогда расскажу для примера свой случай. Был в очереди в одном из отделений банка на получение карты. Передо мной 6 человек. Ждал около получаса. Когда подошла моя очередь, девушка сказала, что у неё перерыв и отказалась меня обслуживать. В принципе, она полностью права. Ноя отправил смс на указанный на двери в отделение номер. После чего мне перезвонил какой-то дядя, выслушал ситуацию и пообещал перезвонить после выяснения. Через два дня я получил от него же звонок с информацией о том, что девушку депремировали на сколько-то там процентов. Если ничего не делать — вы и не получите качественное обслуживание. Это как с услугами ЖКХ. Или вы ожидаете, что в банках работаю не такие же люди, как во всей нашей Уркаине?

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 11.09.2013 11:32

Если ничего не делать — вы и не получите качественное обслуживание.

У меня была точно такая же ситуация, только вместо перерыва была какая-то мифическая инкассация, из-за чего закрыли кассу не по графику. Позвонил, настучал. Как сидела та жиропа, так и сидит на кассе, хозяйка вселенной.

Леголас Трандуилович 11.09.2013 21:59

В принципе, она полностью права.

Через два дня я получил от него же звонок с информацией о том, что девушку депремировали на сколько-то там процентов. Если ничего не делать — вы и не получите качественное обслуживание

Не раскрыта тема связи между качеством обслуживания и депремированием девушки, которая в принципе права? ИМХО вы просто ей отомстили за неудобства. Банк же как и в ситуации описанной в посте — просто назначил крайнего.

А депримировать по идее должны были не её а старшего в отделении. при очереди в 6 человек в кассу, не помешает открыть ещё одну кассу и устроить между ними лоадбалансинг :)

Maksym Mospanenko Software Engineer 26.09.2013 22:29

депремировали

.... жалко девушку... красивая хоть была?)

Начинал читать, думал что история про заправку =))

Антон Харуйманов 20.11.2014 10:44

.... жалко девушку... красивая хоть была?)

А что — если красивая, то может садиться на голову?

Maksym Mospanenko

anonymous 26.09.2013 23:54

-

Anna Alimova front-end developer в Aejis 20.11.2014 10:39

Я пробовала, с меня спросили «id чат-сессии». А его нет, ибо разговор в чате не считается активностью в приват24, и если ты не ходишь по страницам, тебя может внезапно выкинуть из системы с потерей чат-сессии.

Maksym Mospanenko Software Engineer 26.09.2013 22:27

ну нормально, а вы их разве не посылаете?)

anonymous

Чорний Список Юджина 10.09.2013 21:18

Почему люди туда до сих пор добровольно идут клиентами быть?

Он держит 51% депозитов Украины. Логично, что он может рухнуть только вместо со всей страной. Почему бы ему не доверять?

На прошлой неделе нужно было перевести n-ную сумму денег в американский банк. Перезвонил в несколько банков крупных, везде надо было идти в банк. Зашел в Приват24 и все сделал за 5 минут. Деньги пришли на следующий день.

Антон Харуйманов

Stefan-Augustyn Jędrzejewski 10.09.2013 21:46

Ну, якщо крім Привата24 не бути підключеним до інших систем, то альтернатив таки не буде...

Чорний Список Юджина

Чорний Список Юджина 10.09.2013 23:02

Я подключен к трем крупным банкам. Из них только в Приват24 можно зайти онлайн и сразу отправить деньги в любую точку мира. В других нужны какие-то дополнительные действия, например идти в банк и активировать эту возможность.

Stefan-Augustyn Jędrzejewski

reality_hacker 10.09.2013 23:09

А по какой системе отправить? SWIFT?

Чорний Список Юджина

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 10.09.2013 23:16

При всём богатстве выбора — альтернативы нет.

reality_hacker

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 10.09.2013 23:15

Из них только в Приват24 можно зайти онлайн и сразу отправить деньги в любую точку мира.

Главное отправить куда надо. Попробуйте провести расследование потерянных денег при переводе с помощью огрызка свифтовки из привата24 :) Только что зашёл в онлайн банкинг маленького, но гордого банка, там есть SWIFT переводы. Эка невидаль :)

Чорний Список Юджина

John Wane 11.09.2013 01:55

Более того, у одного венгерского банка в Украине — SWIFT можно отправить даже по телефону (первый раз шаблон правда сложно диктовать, а потом всё просто).
Причем сделаете это именно Вы — а не тот кто час назад востановил СИМку. Используется генератор паролей в виде брелока + пароль.

Вот из-за таких людей — которые наивно верят:
* У банка 8000 банкоматов по всей Украине. vs. А Вам надо все 8000? Или достаточно возле дома и офиса чтобы был? Плюс в некоторых тарифах других банков есть бесплатные снятия в любом банкомате Украины.

* У ПриватБанка 51% депозитов — он не упадёт. vs. В банке большая доля депозитов физических лиц в активах и поэтому выплата депозита в полной сумме в случае банкротства будет осложнена из-за осутствия активнов других очередей банкротства. Также в банке велика доля кредитов выданых аффилированным компаниям.

* Более удобного инет банка не видел vs. А вообще какие видили и когда смотрели?

* У него полно отделений по Украине vs. А не проще ли пройди еще 500 метров и зайти в другой банк сделать платёж на любой счёт, чем стоять в очереди час?

Вообще если основываться на статистике, то Вам может показатся что все мы дышим азотом, потому как его >70% в том что вдыхаем.
Но пользу на самом деле основную приносят нам только 20% кислорода.
Так и с Приватом — статистика класная, но кому от этого лучше — банку или клиенту?

Назар Казымов Java Developer 11.09.2013 10:46

Но пользу на самом деле основную приносят нам только 20% кислорода.

кислород в чистом виде -яд

John Wane

Євген Козлов Front-end developer в SoftServe 11.09.2013 22:45

не слышали, что азот-то как раз можно заместить, например, гелием?

Назар Казымов

Юрий Монастырёв Director of software development в SightPower 11.09.2013 23:38

Поэтому на «Джемини» и «Аполлонах» астронавты дышали чистым кислородом?

Назар Казымов

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 11.09.2013 23:48

На Apollo уменьшали давление почти в два раза, а это равноценно концентрации в дыхательной смеси где-то 60% кислорода и 40% азота по земным меркам. При земном давлении космонавты бы «сгорели» за сутки.

Юрий Монастырёв

Юрий Монастырёв Director of software development в SightPower 12.09.2013 01:04

Конечно. Но ничего, кроме кислорода, в атмосфере Аполлона не было

кислород в чистом виде -яд

Он таки был чистым

Апполинарий Эмануилович 09.09.2013 12:02

— У Вас дыра в безопасности!
— Слава Богу, хоть что-то у нас в безопасности....

shadow 09.09.2013 02:06

Уязвимость это когда любая домохозяйка может взломать не нарушая лицензии об использовании, а здесь реальный хакинг с дизасемблированием и подменой параметров. Закроют Мохова на N лет или пожизненно отрабатывать в банке.

zakon2.rada.gov.ua/...w/3792-12/page2

Alexandr Gavriluk .Net developer в Aspose 09.09.2013 13:07

Стаття 24. Вільне копіювання, модифікація і декомпіляція
комп’ютерних програм

1. Особа, яка правомірно володіє правомірно виготовленим
примірником комп’ютерної програми, має право без згоди автора або
іншої особи, яка має авторське право на цю програму: ( Абзац
перший частини першої статті 24 із змінами, внесеними згідно із
Законом N 850-IV ( 850-15 ) від 22.05.2003 )

1) внести до комп’ютерної програми зміни (модифікації) з
метою забезпечення її функціонування на технічних засобах особи,
яка використовує ці програми, і вчинення дій, пов’язаних з
функціонуванням комп’ютерної програми відповідно до її
призначення, зокрема запис і збереження в пам’яті комп’ютера, а
також виправлення явних помилок, якщо інше не передбачено угодою з
автором чи іншою особою, яка має авторське право;

shadow

Олександр Петров Працює в Numatic Ventures 09.09.2013 13:42

якщо інше не передбачено угодою з
автором чи іншою особою, яка має авторське право;

Я не читал лицензионное соглашение приветбанка, но уверен, что там есть запрет на реверс-инжиниринг.

Maksym Mospanenko Software Engineer 26.09.2013 22:34

если и не было, то уже скорее всего есть =)

Олександр Петров

shadow 09.09.2013 13:42

Там не було виправлення помилки, а навпаки використання помилки для обману системи.
Може для когось помилка що программа не працюэ в повному обсязi без лiцензiйного ключа можна теж декомпiлювати i модифiкувати?

NewType 08.09.2013 12:40

Скорее всего, кто-то, кто несёт ответственность за безопасность и прочее, понял свой про(job) и попытался выгородить себя, свалив вину на другого человека. Позор тем, кто это сделал.

Maksym Mospanenko Software Engineer 26.09.2013 22:37

А представляете если бы приват выплатил ему за это... или через суд. Имхо это их единственный правильный выход с данной ситуации, а людям надо смотреть шире, дело то далеко не в гуманности. Хотя и не верится мне, что человек не начал пытаться пользоваться «находкой» и потом, осознав, в панике попытался спастись под видом помощи... безликому существу. Это тоже имхо.

NewType

Олексій Пєніє 08.09.2013 10:08

Банкомат Приватбанку:
— Вставте картку
— Вставив
— Оберіть мову
— Українська.
— Введіть пінкод
— ****
— Лотерея — виграй стопітцот мільйонів
— Ні!
— Виберіть пункт меню
— Зняти готівку
— Введіть сумму
— 150
— Бажаєте оплатити мобільник?
— Ні.
— Пожертвувати гроші безголовим діткам?
— Ні.
— Ви впевнені, що хочете зняти бабло?
— ТАК!
— Виберіть пункт меню
— Зняти готівку
— Введіть сумму
— 150
— Бажаєте оплатити мобільник?
— Ні.
— Пожертвувати гроші безголовим діткам?
— Ні.
— Ви впевнені, що хочете зняти бабло?
— ТАК!
— Хочете купити авто в кредит?
— НІ С...!
— Виберіть мову інтрфейсу.
— УКРАЇНСЬКА КУРВА Я ВЖЕ ЦЕ ВИБИРАВ!!!!!
— Спробуйте наш новий сервіс — смс у пекло за 0.99 грн.
— ТА ЙДИ НА..., ДАВАЙ БАБЛО С...!!!
— Видрукувати чек?
— НІ!!!!!!!!!!!!!!!!
— Вибачте, сталася помилка, спробуйте ще раз

© Авторство не моё, но где взял не помню.

Andrey Shiray 08.09.2013 10:25

Трушный банкомат привата должен спрашивать пинкод после каждой интерации — вдруг это не вы, а тот парень из очереди за степухой не успел подсмотреть.

Ilya Trushchenko SRE в Carta 09.09.2013 14:14

Забыли упомянуть про паузы по 15 секунд между каждым новым сообщением и идиотскую особенность отдавать бабло, но не отдавать карточку (в большинстве сначала забираешь карточку, что бы не забыть, а потом деньги).

Dis Root 10.09.2013 12:42

это как раз плюс. может, я не только за баблом пришел а еще хочу операции сделать? телефон там пополнить или еще что.
а те торопливые банкоматы, которые заставляют спешно ловить карту, пихать в кошелек, чтобы успеть забрать деньги — пусть снятся в кошмарах своим разработчикам.

Ilya Trushchenko SRE в Carta 10.09.2013 13:05

Как дважды прошедший через 7 кругов ада восстановления забытой в таком «замечательном» банкомате карточки — не могу с вами согласиться
И я не помню ни единого за многие года пользования банкоматами случая, что бы мне надо было еще что-то делать после снятия налички. Можно примеры?

Dis Root

Dis Root 10.09.2013 13:13

примеры. разумеется.
1. я хочу снять несколько определенных сумм.
например, 170 грн папе, 140 грн маме и 190 грн детскому дому.
не хочу получить одну бумажку и резать на части, хочу, чтобы железный ящик поделил деньги для меня.

но никакие примеры не вылечат от ~~склероза~~ рассеяности.

мне удобнее сам принцип, когда я решаю, что пришло время забрать деньги — и не спеша их прячу. спрятав, я так же решаю, что теперь мне удобно забрать карточку и положить её в кармашек.

поэтому банкоматы, заставляющие в спешке и двумя руками манипулировать тремя предметами (кошелек, карточка, пачка денег) — мне не нравятся.

anonymous 10.09.2013 13:53

банкомат мог бы предоставить опцию выбора набора купюр. забытая в банкомате карта — это намного большая боль, чем боль утраты 100-200 грн.

Dis Root

Dis Root 10.09.2013 14:01

я не хочу считать, какие наборы купюр у меня войдут в 175 грн. боль утраты — это ваше личное халатное отношение к своим документам (банковской карте). которая, опять же, восстанавливается за полчаса.

anonymous

Ivan Pomidorov 10.09.2013 15:58

м (банковской карте). которая, опять же, восстанавливается за полчаса.

За 10 рабочих дней вообще-то

Dis Root

Pavel Kruchina CTO 10.09.2013 16:28

Хм, зависит от банка, наверное. В том самом, «адовом» ПБ уходишь через 15 минут с карточкой, которая активируется через сутки.

Ivan Pomidorov

Ivan Pomidorov 10.09.2013 16:33

Даже visa buisness?

Pavel Kruchina CTO 10.09.2013 17:12

ну это другая пьянка :). С другой стороны, держать все деньги на часто юзабельной карточке — плохой тон. Особенно, если её долго востанавливать.

Хотя на кройняк, в том же ПБ вам довольно шустро откроют обычную карточку (моментальная. чтоли?) куда можно запросто перевести деньги — и юзай на здоровье.

Ivan Pomidorov

Stefan-Augustyn Jędrzejewski 10.09.2013 21:47

В будь-якому банку ідеш за лічені хвилини із карткою, якщо ти нормальний клієнт...

Dis Root 10.09.2013 16:41

у вас, наверное, какая-то мажористая карточка или зряплатная.

и разумеется, все эти 10 рабочих дней вы с 9 до 18 обязаны провести в офисе привата, а снимать деньги с паспортом в кассе — низзя и ай-яй-яй.

Ivan Pomidorov

Pavel Kruchina CTO 10.09.2013 13:14

7 кругов ада — это зайти в банк и забрать новую карточку? (я бываю довольно несобранным, и в один месяц «восстанавливал» карточку 3 раза).

Dis Root 10.09.2013 13:16

еще сфотаться )))))

Maksym Mospanenko Software Engineer 26.09.2013 22:38

номер тот же остается?

Євген Козлов Front-end developer в SoftServe 10.09.2013 15:13

забывыл, восстанавливал, научен.
на самом деле, почти все банкоматы там работают. Из тех, с которыми сталкивался, только Авалевский и Кредобанковский дают карту, а потом — деньги

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 10.09.2013 15:34

Из тех, с которыми сталкивался, только Авалевский и Кредобанковский дают карту, а потом — деньги

Пиреус, OTP.

Євген Козлов

Вера Кузнецова 10.09.2013 19:57

Эксим тоже. Пока не извлечешь, даже считалка купюр не запускается.

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 10.09.2013 13:33

а те торопливые банкоматы, которые заставляют спешно ловить карту, пихать в кошелек, чтобы успеть забрать деньги — пусть снятся в кошмарах своим разработчикам.

Украинцы по темпераменту всё-таки не эстонцы, да и банкомат — это не булочная и не кофейня, отдал деньги по-быстрее и обслуживай следующего. Тем, кому нравится медленное обслуживание пусть идут в отделения приватбанка, там будет время подумать о вечном и нетленном и быть забытым.

Dis Root

Dmitry Karpetsov Senior Software Engineer 07.09.2013 17:34

Очень странно, у них только недавно висели банеры на сайте найди «дыру получи 10000», учитывая сколько глюков встречал при работе с П24, даже посмотрел условия, в принципе всё с чем я сталкивался не подпадало под условия вознаграждения.
Судя по всему у Мохова получилось сорвать джек-пот, но «казино» с деньгами не расстанется.

Вера Кузнецова 07.09.2013 17:36

Они хозяева своего слова: слово дали — слово забрали :)

Dmitry Karpetsov

Олексій Пєніє 08.09.2013 10:07

Вот тут 50 на 50. Сталкивался и с тем и с другим.

Олексій Пєніє 08.09.2013 10:07

Для этого надо было подать через нужный канал.
Кстати, естть люди получившие такое вознаграждение, и Приватбанк вплоне охотно платит по таким программам. Если кто знает — можете пробовать, рекомендую. Но как правильно заметили, банк в самих условиях описал что не является багами (читай — так и надо).

Dmitry Karpetsov

Dmitry Karpetsov Senior Software Engineer 08.09.2013 13:53

Ну тогда всё ясно, Мохов попал в стандартную проблему корпораций, когда есть строгая политика и все знают, что делать (кого обвинять или поощрять), но чуть ситуация не соответствует правилам, начинается бардак и зачастую не адекватные решения.

Олексій Пєніє 08.09.2013 14:44

Он попал по яйцам корпорации :)
Так как сделал он — делать нельзя. В смысле публиковать в твитере. Это можно делать лишь в одном случае — хочешь погубить организацию и готов к тому что она ответит. В данном случае — легко отделался. А ведь могли и убить. Не организация — вполне конкретный человек мог быть жестоко наказан внутри банка, и не имея возможности ответить банку — заказал бы Алексея.

Да, это противозаконно. Но люди подчиняются не закону, а интстинкту. И убивают, и это происходит каждый день. И лучше не проверять эти стимулы на практике!!!

Dmitry Karpetsov

Апполинарий Эмануилович 08.09.2013 15:10

Вы слишком омрачаете нашу действительность.
Вы бы знали какое количество мошеннических операций в день приходится рассматривать банкам, тут бы уже были реки крови.
Распространенная схема, это когда звонят Вам по объявлению в инете, говорят, что готовы у Вас купить то, что продаете, только назовите номер приватовской карты для перевода денег. Вы называете, потом у Вас «случайно» пополняется счет на 5 грн, раздаются два ошибочных звонка и далее через несколько часов у Вас блокируется симка. Потом у Вас пропадают с карточного счета 2К гривни. Причем нигде не взламывается система, все работает так как должно работать, но деньги уходят в чужие руки. Не знаю, может уже побороли эту схему, но полгода назад у меня знакомые попались.

John Wane 08.09.2013 17:38

А Приватбанк устраивала схема с мошенничеством через «Экстренные деньги».
Они ж даже продолжают считать % по кредиту с украденых средств!

05 липня 2013 року. Справа № 592/4805/13-к Ковпаківський районний суд м. Суми.
Вирок:
ОСОБА_2 просив стягнути з потерпілого 1623 грн., з яких 1400 грн. сума спричиненої шкоди злочином, 223 грн. відсотки за обслуговування кредитної суми.
Позов ОСОБА_2 підлягає задоволенню частково у сумі 1456 грн., тобто у розмірі прямої шкоди завданої злочином.
Законних підстав для стягнення відсотків за користування кредитом немає.
...
Реалізуючи свій злочинний намір, досягнутий з ОСОБА_1, 07.01.2013 року невстановлена особа з метою незаконного заволодіння грошовими коштами, підшукала в Інтернеті оголошення з продажу фотоапарату, яке розмістив мешканець міста Запоріжжя ОСОБА_2. Після цього невстановлена особа зателефонувала потерпілому. Видаючи себе за добросовісного покупця, виявила бажання придбати запропонований для продажу товар та запропонувала здійснити розрахунок шляхом грошового переказу на банківський рахунок в ПАТ КБ «ПриватБанку». Будучи введеним в оману стосовно дійсних намірів невстановленої особи, ОСОБА_2, не будучи обізнаним про можливість використання банківської послуги «Екстренні гроші» і не допускаючи можливості заволодіння своїми коштами, розцінюючи свої дії як правомірні та вигідні для нього, повідомив невстановленій особі особисті дані та номер банківського рахунку ПАТ КБ «ПриватБанк». Після цього невстановлена особа зателефонувала ОСОБА_2 та розіграла заплановану злочинну комбінацію, видала себе за працівника банку, запевнила ОСОБА_2 в наявності грошового переказу, на який він очікує. Впевнившись в наявності на рахунку потерпілого коштів та верифікованості сім-карти потерпілого до його банківського рахунку НОМЕР_1, невстановлена особа ввійшовши в довіру до ОСОБА_2, використовуючи його необізнаність про порядок використання банківських послуг, запевнила, що потерпілий має їй повідомити комбінацію цифр, надіслану банком на його мобільний телефон, яку ОСОБА_2 з власної необачності повідомив невстановленій особі. Даний код невстановлена особа повідомила ОСОБА_1, який ввів його на клавіатурі банкомату та отримав доступ до банківського рахунку ОСОБА_2 і за вказівкою невстановленої особи, будучи обізнаним про його злочинні дії та діючи повторно за попередньою змовою з невстановленою особою, в 14.58 год. в банкоматі міста Суми по вул. Троїцька, 26, викрав з рахунку ОСОБА_2 гроші в сумі 1400 грн.. Частину коштів відразу ж переказав на вказаний невстановленою особою банківський рахунок. Таким чином ОСОБА_1, діючи за попередньою змовою з невстановленою особою, таємно викрав з рахунку ОСОБА_2 гроші в сумі 1400 грн. та, з урахуванням стягнутих банківських комісій, спричинив потерпілому матеріального збитку на суму 1456 грн.

Самый большой прикол — что отключить услугу «Экстренные деньги» по просьбе клиента нельзя.
Но из-за массовости (более 60 случаев) мошеничества теперь ПриватБанк может ее отключить сам в случае замены СИМки (как-то через часть ОКС-7 протокола узнают? служебные СМСки?).
Вот так в самый неожиданый момент услуга может быть недоступна когда нужна, а зато когда не нужна — включена.

Олексій Пєніє 08.09.2013 18:11

Прикол? Ты считаешь воровство денег и халантость банка смешной? Роль мошенников здесь минимальна, это банк предоставил и реализовал схемы воровства, и отдал деньги в руки воров при помощи своих же технических средств.

Единственная вина клиента — что он стал клиентом этого банка.

John Wane

Олексій Пєніє 08.09.2013 18:06

Я не понимаю, что мешало эту схему предсказать?
Я не понимаю, что мешало это схему отключить после первого же случая?
Я не понимаю, неужели банку действительно нужна такая услуга, чтобы не выключить её нафиг совсем, если не способны устранить мошенничество?
Я не понимаю, что мешает забрать у банка лицензию, если банк нарушает закон в сфере предоставления финансовых услуг?

Апполинарий Эмануилович 08.09.2013 19:29

Видно банк сэкономил и не купил точный предсказатель событий. Динозавры, что говорить.

Stefan-Augustyn Jędrzejewski 10.09.2013 21:49

Олексію, Ви давно відвідували психіатра?

Dmytro 07.09.2013 17:28

странно, что не сразу ноги в цемент и в Днепр с моста

Вера Кузнецова 07.09.2013 17:34

Нимнога попизже (ц)

Dmytro

Олексій Пєніє 08.09.2013 10:24

Ну так он и деньги не украл. Если бы украл — разговор был бы другой.

Dmytro

Stefan-Augustyn Jędrzejewski 10.09.2013 21:52

Ви щось плутаєте. Тазик-цемент-Кальміус. Не Дніпро :)

Dmytro

Вера Кузнецова 07.09.2013 17:26

ПриматБанк такой примат.
А дыру с смс-банкингом закрыли?
Кратко: Именно на кредитке смс-банкинг отключить нельзя. Подключен всем и по дефолту.
Чтобы украсть мошенники выясняют номер кредитки и подвязанный к ней номер мобилки
Используя инет-шлюзы с подменой номера отправителя отправялют смс
PAY 4 последние цифры кредитки, сумму и карту назначения.
Вот это эпик-фейл, и ведроид-аппу колупать не нужно

Олексій Пєніє 08.09.2013 10:29

Держись крепче — в 2008м кажется был момент когда они сами (!!!) посылали пароль (!!!) от Приват-24 на номер клиента. Без запроса!!! При этом не проверив, кто действительно владелец номера. И проигнорировав факт, что операторы передают номера другим абонентам.

С тех пор уже многое поменялось. Но сам факт, что банк имеющий 100500 айтишников и столько же безопасников — это сделал.

Хотя не очень и многое. Когда внедряли выдачу денег без карты — как людей просил, поставьте лимит на сумму 500грн! Нет же, позволили снимать весь кредитный лимит. И это до сих пор не исправлено, я не могу войти в Приват 24 и поставить лимит.

Dima Meshkov Sr Developer в K+K 11.09.2013 10:34

Хочу вас расстроить, но чтобы украсть ваши деньги с карты, достаточно просто знать её номер. Ни цвв2, ни экспдата не нужны =)

Aleksey G 12.09.2013 13:24

Можно детальнее? Это приватовский прикол? Насколько я знаю проверка цвв2 кода включена по умолчанию (по крайней мере в банках, которыми я пользуюсь — не Приват)

Dima Meshkov Sr Developer в K+K 12.09.2013 16:28

Алексей, цвв нужен при авторизации клиента со стороны внешних интерфейсов — банкоматов, интернет-шлюзов и прочего. Но внутри банка и между банками цвв не используется. При транзакциях используется номер карты. Поэтому имея номера карт и получив доступ «внутрь банка или системы» злоумышленник имеет возможность совершать противоправные действия.

Aleksey G

Євген Козлов Front-end developer в SoftServe 12.09.2013 17:06

При транзакциях используется номер карты

а не номер счета? о_0

Dima Meshkov Sr Developer в K+K 12.09.2013 17:41

нет, номер карты.

Євген Козлов

Aleksey G 12.09.2013 17:20

Это понятно то, но у вас было сказано так, как будто злоумышленнику извне достаточно знать только номер карты.

anonymous 07.09.2013 16:46

-

Pavel Kruchina CTO 07.09.2013 16:23

Вот же забавно — никто не знает, как оно на самом деле — но все спешат обосрать. Да ещё и читают по ключевым словам. «Обвинил» — значит подал в суд. До тех пор никто никого ни в чем не обвиняет.

Олексій Пєніє 07.09.2013 14:34

Всю PR службу разогнать к чертям. Я понимаю, что безопасники — это карающие органы, и по-другому они не умеют. Но что произошло фактически:

Банк выпустил дырявое приложение. Заведомо дырявое.
Банк не нанял специалистов, не делающих столь глупых ошибок. Сэкономил.
Банк нанял и пооощрил специалистов, делающих быстро и красиво.
Банк не имеет технологии исправления ошибок. Любая найденная ошибка ведёт не к исправлению, а к поиску виноватых и деланью вида что их нет.
Банк не имеет работающей технологии стимулирования качества. В любом промежуточном звене отработка ошибок наказуема. Поощряется «замятие» вопроса, это считается решением.

Когда нашли:

Банк принял в штыки, и даю гарантию 200% попытался отбрехаться общими фразами.
Банк посчитал проблемой не ошибку, а факт её нахождения.
Более серьёзной проблемой банк посчитал человека.
Банк наказал человека. Обвинение — это уже наказание, и реакция последовала.
Банк сделал всё, чтобы показать что он «всегда прав». Клиент всегда неправ.
Банк приложит максимальные усилия, чтобы доказать что все неправы. В лучшем случае «неправильно поняли».
Банк наверняка накажет непричастных. Скорее всего одного человека. И уволит по собственному желанию. Так уже было, можете погуглить скандал о Юниор-картах и показ по ОРТ.

Как надо было сделать:

Дать премию! Публично!

Тогда репутация пошла бы в плюс. Это обошлось бы дешевле запугивания. А по эффективность пиара превысила бы эффективность любой рекламной акции банка. Так что это феерический прокол службы пиара — вместо того чтобы взять на себя отвественность и выиграть ситуацию, засунули голову в песок и самоустранились. Фактически разрешив банку публично повернуться голой задницей к клиентам. Повторится ли это снова? Так ведь уже было, не так ли?

К сожалению данный случай не исключение, можете поспрошать Хабр насчёт Приват-24. И какое было отношение к нашедшему.
Итого: в банке люди хорошие, но кадровый вопрос их немножко испортил.
А ведь лозунг «клиент всегда прав» первым в Украине появился именно у Приватбанка. И это были времена его расцвета.

Апполинарий Эмануилович 07.09.2013 21:37

Заведомо дырявое

Не соглашусь.
Любое ПО общественного пользования является неявно дырявым или с багами. Поэтому и выходят постоянно обновления. Но тут был взлом, перехват и подмена. Т.е. закон не на стороне Алексея.

Приложение «Приват24» обменивается данными с банком и все данные пересылаются в зашифрованном виде. Но если на телефоне установлено приложение, которое «знает» протокол общения с банком, то оно может получить всю информацию от банка, не зная даже телефона/пароля в «Приват24». То есть, банк думает, что обменивается данными со своим приложением, как рассказал Алексей.

Если приват по транзакциям увидит, что были произведены хищения средств этим методом, то Алексею будет тяжело доказать свои хорошие намерения, даже если он пришел после этого в банк и сообщил.

Олексій Пєніє 08.09.2013 10:56

Закон вообще не на стороне бизнеса. Закон имеет 100500 правил и норм как делать нельзя, и как якобы надо. Но я не знаю ни одного бизнеса ни в одной стране имра, к которому закон не мог бы при желании прикопаться.

Почему так — закон от природы бюрократия, посколько составлен бюрократами. Не бизнесменами. А бюрократия — враг бизнеса номер ноль. Идеальный человек с точки зрения закона — лежит на кладбище, наиболее близкий из реальных — пенсионер с минимальной пенсией.

Учитывая что банк имеет полный доступ к своим же данным, доказать может что угодно. Даже независимо от того, было ли что-то на самом деле. Если банк захочет доказать что я умыкнул 10 000 баксов — это займёт менее одного дня. Возможно даже и дописывать ничего не придётся — есть суды ну ооооочень лояльные банку.

В этой стране Приватбанк сильнее закона. По крайней мере по отношению к физическим лицам. И имеет все средства вполне «законно» сделать должником кого угодно. А уж клиентов подписавших договор — вообще без шума и пыли.

Так что решать придётся с банком. По-хорошему. Без вариантов. Но если банк решит по-плохому — факт что такое решение банку будет стоить дорого, и что самое важное — не решит проблемы а создаст.

Апполинарий Эмануилович 08.09.2013 12:57

Учитывая что банк имеет полный доступ к своим же данным, доказать может что угодно

Банк в данном случае это абстракция, типа агрегата. В больших системных банках подразделения между собой имеют слабую связность. Поэтому расформировуя определенное направление, типа автокредитования или ипотеки, или МСБ, остальные структуры не страдают. Также и безопасники, хрен они что-нибудь смогут поменять задним числом в закрытом операционном дне. Это им будет стоить дороже, куча будет завязок на другие подразделения и больше риска потом оказаться в мошенниках, чем выбить статью по премированию Алексея. Единственное что у них в силах, это навесить уже произошедшие случаи мошенничества по карточным счетам.
В общем, если Алексей не хитрил с этим до прихода в банк, то должен быть happy end.

Олексій Пєніє 08.09.2013 14:42

Вы так говорите будто эта (или любая другая) организация состоит не из людей, а из железобетона. Это обычные люди. Собери их вместе, вывези в чистое поле — и они всё равно остануться банком и смогут решить вопрос.

Кстати, успешные организации так и делают. Хорошо отрезвляет, помогает видеть систему как она есть, а не лизать зад сферическуму коню.

Апполинарий Эмануилович 08.09.2013 15:15

Они и так вывозятся в чистое поле каждый год на день банкира и там они представляют из себя просто толпу, т.к. без банковского железа и софта они 0.

Alexandr Gavriluk .Net developer в Aspose 07.09.2013 14:23

Приватбанк вроде бы расследует обвинение его не в том, что он взломал приложение, так как по украинским законам — дизасемблирование приложений для изучения разрешено, а в том что он для демонстрации использовал чужой счет.

Вот представьте — если бы взломщик использовал вашу квартиру для того чтобы доказать уязвимость замка? Вам было бы приятно?

Хотя Приватбанк умеет признавать ошибки и они расследуют случай, что оговорено в инструкции службы безопасности. По словам самого Мохова ему уже предложили работать в Привате.

PS
Если бы это было в Ощадбанке, его бы просто посадили на годик в СИЗО до окончания расследования.

Олексій Пєніє 07.09.2013 14:40

По словам самого Мохова ему уже предложили работать в Привате.

Только ложка дёгтя портит бочку мёда, и факт вынесения обвинения исключает лояльное отношение. Это вопрос времени, когда конфликт приобретёт продолжение.

Pavel Kruchina CTO 07.09.2013 16:18

На самом деле не нужно устраивать истерику без фактов. Факт того, что банк ведёт расследование, не значит, что кто-то будет наказан (и молодцы, что проверяют)

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 07.09.2013 17:03

Им бы опыт перенять у американских военных в плане утечек информации, тогда бы не было этого публичного позора. Это ж сколько нужно иметь куринных мозгов, чтобы вынести это событие на публику. Я одно время работал довольно тесно с бывшим полковником КГБ, он бы за такое в те времена лично расстрелял бы ... минимум три раза каждого, если бы такая утечка произошла на режимном объекте. Это ж грёбанный стыд, видать старой школы в привате не осталось.

Вера Кузнецова 07.09.2013 17:09

Старая школа уже не может. Новая — ещё не может, и вряд-ли сможет. Ибо работать за «жрат» не подразумевает всестороннего развития

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 07.09.2013 17:13

Старая школа уже не может.

Лет 10-15 она ещё будет ого-го, а потом сойдёт на нет.

Вера Кузнецова 07.09.2013 17:18

Наблюдал на своем бывшем предприятии.
Когда старая школа в лице CSO с полной «упаковкой» технологий (экс. SBУ) не могла понимать и раскрывать многоходовки современного CFO. Хотя дельта в возрасте не превышает 25 лет.

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 07.09.2013 17:26

Когда старая школа в лице CSO с полной «упаковкой» технологий

Старая школа была разной, тех которых обучали на внутреннюю работу заметно отличались от внешней, надо нанимать правильных людей для выполнения нужной задачи ;)

Вера Кузнецова 07.09.2013 17:33

надо нанимать правильных

Спору нет. Но жадность руководителей исключает выполнение этого условия и в моем и в ПБ(ИМХО) случае.

Олексій Пєніє 07.09.2013 17:47

Причём тут утечка. Ключевых данных не утекло, и вполне можно было решить вопрос PR-ходом типа «Приватбанк наградил преимей качества за найденную ошибку». СМИ бы растиражировали 100500 экземпляров, и реальная суть ошибки была бы уже неинтересна. И уже тогда тихонечко выпилили бы все упоминания сути.

Это проверенная годами практика. Но Приват на чужих ошибках не учится, ынновации млин!

Вера Кузнецова 07.09.2013 17:53

Тогда бы все начали «пилить» ПБ на уязвимости. И их там есть много.
ПБ-овцы(ой как получилось) знают это, и дабы отвадить — сделают Мохову условное, чтобы другим неповадно было...

Олексій Пєніє 07.09.2013 18:09

И он тогда [авось] совсем [авось] никому [авось] ничего [авось] не расскажет. Не думаю что кто-то в Привате на это решится. Потому что в случае проблем будут искать козла отпущения. Недолго будут искать.

Вера Кузнецова 07.09.2013 18:16

Так ты не понял. Это для нас действия ПБ выглядят как действия слона в посудной лавке. А для ПБ они выглядят как выверенные действия. Они понимают, что дыр у них много, и если создать прецедент: за дыру — бабло, то их найдут много. А зачем им это? Они и так понимают, что они решето. По-этому Мохова, чтобы напугать, сначала по статье «Мошенничество с использованием ВТ», а потом как с барского плеча — условно. Дыру, найденную им — закроют. И вуаля.
Что такое 10тыс грн за дыру? Если по дыре Мохова можно было иметь во стократ больше!

Олексій Пєніє 07.09.2013 18:46

Нельзя пугать. Один раз повесив ярлык «враг», вешаешь второй такой же на себя. Ты наверное просто не знаешь как ведут себя люди в состоянии испуга и в состоянии стресса. Они не выбирают правильное решение. А первое попавшееся. Спланированное. Даже с самым плохим планом — но изо всех сил и с привлечением всех доступных средств.

И чем сильнее напугаешь — тем больше необдуманных действий в ответ получишь.

Нужно либо не пугать, либо применять в полной мере. Другого не дано. В вопросах безопасности не бывает компромиса. Либо свой, либо чужой. И самая дорогая ошибка — перепутать.

Вера Кузнецова 07.09.2013 21:20

Ты все говоришь правильно.
Но если бы так было, то этого топика бы не было.
А пока... Запасаемся попкорном :)

Олексій Пєніє 08.09.2013 10:23

Я говорил, что распускать психологов — неправильно. Но банк это сделал, чем создал райские условия конуретнам. Ведь каждый их прокол — это повод выпилить долю рынка. И выпиливают...

Stefan-Augustyn Jędrzejewski 10.09.2013 21:58

Ваша помилка в тому, що Ви намагаєтесь шукати раціо в діях українських «бізнесменів», а український «бізнес» побудовано на докорінно інших принципах...

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 07.09.2013 18:00

Причём тут утечка. Ключевых данных не утекло, и вполне можно было решить вопрос

Причём тут данные? Была утечка информации со стороны Привата. Алексей сделал всё, как подобает в таких случаях, он не трезвонил в инете, что нашёл уязвимость, он обратился сразу к организации, у которой была найдена уязвимость. Далее все действия привата не поддаются никакой логике безопасника, а это значит что безопасникам была вказивка молчать и заниматься своей работой дальше, и их мнение никого не интересовало, либо их просто нет там, в любом случае, это печально.

PR-ходом типа «Приватбанк наградил преимей качества за найденную ошибку».

Никаких ПР ходов, деньги в конверте, личная благодарность в идеальном случае. Будьте бдительны, товарищ, в дальнейшем. Да и вербовка на работу должна происходить совсем по другому, она должна быть молчаливой. Это в интересах обоих сторон.

reality_hacker 08.09.2013 07:47

Алексей сделал всё, как подобает в таких случаях, он не трезвонил в инете, что нашёл уязвимость, он обратился сразу к организации, у которой была найдена уязвимость.

Судя по сообщениям в вконтактике именно трезвонил, написал что вскрыл протокол, сказал что если кому надо обращайтесь, и тут же побежал давать интервью в АИН.

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 08.09.2013 10:19

Разве это было не после озвучивания события приватбанком?

reality_hacker

reality_hacker 08.09.2013 10:27

Хронология такая, 3-его сентября Мохов оставил сообщение в вконтактике. 4-его сентября вышла статья на АИН где говорилось что «Алексей говорит, что вчера уже отправил уведомление об уязвимости в службу безопасности банка.», т.е. он не дал ПБ и дня на пофиксить проблему. Помоему пареньку просто очень хотелось кулхацкерной славы, а добрые дела, это часть спектакля.

Олексій Пєніє 07.09.2013 17:44

Но инфа что обвинили уже распространилась, и опровержения не последовало. По ситилю изложения я так понял что конфликт замять удалось. В этот раз. Но что осадочек остался — факт, а это значит в случае повторения весьма незанятные последствия.

Никто ж не говорит что не надо расследовать. Надо. Только отличать должны кто на светлой стороне, кто на тёмной. Достаточно 1 раз озвучить обвинение, и другие такие как он незамедлительно выберут тёмную сторону. А у обвиняемого появится повод сомневаться, и (важно) спланировать действия на случай агрессии. А далее как у Чехова, если на стене висит ружьё [составлен план действий], то теперь банк сильно заинтересован чтобы не сыграть последний акт пьессы.

И ещё — тёмная сторона ведь может выйти на Мохова. И сделать предложение от которого тот не сможет отказаться. Как вам такой сценарий, а? Могу сказать что банк такой сценарий не предусмотрел, и это его слабое место уже долгие годы.

Вера Кузнецова 07.09.2013 17:09

Ща там в Ощаде векселепад. И одмины ответили шантажом на шантаж — уложили банкоматную сеть

Nobody 09.09.2013 09:20

Хренассе. Таки это правда про векселя, и творится повсеместно и централизовано?

Alex Borysov Software Professional в Google 07.09.2013 22:44

По словам самого Мохова ему уже предложили работать в Привате.

Не понятно только, это бонус или наказание)

junior dev 07.09.2013 22:47

ну надо же как-то премию выплатить, вот и будет получать ее зарплатой :) по ставке и тарифной сетке

Alex Borysov

Eugene Koval developer в Yola 08.09.2013 08:28

І чи залишили йому право відмовитись :-)

Alex Borysov

fizz buzz 07.09.2013 14:12

Зачем он вообще сунулся в Приват со своими советами? Ведь по сути этим он посягнул на компетентность приватовских особистов, а значит и на их высокие зарплаты, статус и прочие вкусности. А за такое можно не не только обвинение в мошенничестве схлопотать, но заработать встречу с парочкой гопников с битами в темном подъезде.
Большинство особистов это выходцы из органов, а что такое ОПГ МВД хорошо показали события во Врадиевке и многие другие случаи.
И кстати, успех этой затеи был бы возможен, если бы Алексей вышел не на Дубилета а прямо на Коломойского. Последний хоть заинтересован в безопасности своего банка. А Дубилету в первую очередь нужно, чтобы не было громких скандалов, которые могут скомпроментировать его как директора. И не исключено, что особисты еще и его друзья или родственники. На такие теплые должности кого-попало не берут.

Alexandr Gavriluk .Net developer в Aspose 07.09.2013 14:28

А Дубилету в первую очередь нужно, чтобы не было громких скандалов, которые могут скомпроментировать его как директора.

Уже. На месте Приватбанка было бы правильно облизать Мохова со всей тщательностью , пока скандал не перерос в панику и люди не начали выводить деньги из Привата.

fizz buzz

Олексій Пєніє 07.09.2013 17:49

Выводить не начнут. Но вот захотят ли пользоватся сервисами — вопрос серьёзный.

John Wane 07.09.2013 15:10

Вы ищите теорию заговора, там где есть простая некомпетентность.
В такой огромной организации каждый из сотрудников получает деньги только за свою часть работу — пресс-секретарь за попытки (даже неудачные) отбеливания репутации банка, служба безопасности за расследования инцидентов и привлеченных к уголовной ответственности.

Цена вопроса начала уголовного преследования для них это цена 10-15 листиков А4 и уже не раз повторенный опыт.

Ошибку допустил Алексей что использовал крупную сумму при переводе в «proof of concept», в случае если это было бы 1 грн (или 1 коп) то в МВД стали бы на его сторону из-за малозначимости «преступления».

ПриватБанк уже подавал аналогичные заявления в 2010-2011 году в МВД и СБУ и получил отказы.
Но и раслаблятся не стоит, могут сделать выводы из прошлых отказов и действовать более опытно.

Тот факт что сделали фотографии Алексея в отделении, просили написать пояснительную, настаивали на личной встрече (вместо телефона/емейл) — это печальные звоночки.
В ситуации 2010 года, как видно из заявления, тогда сотрудник СБ ПриватБанка Стоян (пенсионер МВД) по телефону «общался» собирая улики.

fizz buzz

fizz buzz 07.09.2013 15:34

Думаю там не теория заговора а тривиальное кумовство и круговая порука.

John Wane

Вера Кузнецова 07.09.2013 17:12

Все правильно Ярослав сказал. Только до Игоря он бы не добрался.

John Wane

Oksana Chuiko Software Engineer в Pure Storage 07.09.2013 20:01

Минимальная сумма ущерба при краже для возбуждения уголовного дела
Согласно 185 Уголовного Кодекса Украины кражей является тайное хищение чужого имущества.

В соответствии со ст. 51 Кодекса Украины об административных правонарушениях, кража чужого имущества считается мелкой, если стоимость такого имущества на момент совершения правонарушения не превышает 0,2 необлагаемого минимума доходов граждан.
Как же уловить грань между уголовной и административной ответственностью, от которой существенно зависить санкция статьи?

Необлагаемый минимум доходов граждан в соответствии с пунктом 5 Подраздела 1 Раздела ХХ Налогового кодекса для целей квалификации совершенного по нормам административного и криминального законодательства устанавливается на уровне социальной льготы. Социальная льгота подпунктом 169.1.1 пункта 169.1 статьи 169 ПК равняется размеру прожиточного минимума для работоспособных, который устанавливается на 1 января отчетного года. Законом о Госбюджете-2012 этот минимум с 1 января 2012 года составляет 1073,00 гривен.

Однако, п. 1 раздела XIX устанавливает, что социальная налоговая льгота, установленная подпунктом 169.1.1 пункта 169.1 статьи 169 ПК Украине, вступает в силу с 01 января 2015 года. А до 31 декабря 2014 года для целей применения этого подпункта налоговая социальная льгота предоставляется в размере 50% размера прожиточного минимума для работоспособных, который установлен на 1 января отчетного года, то есть не 1073,00 грн., а 536 грн., 50 коп.

Таким образом, в 2012 году криминальная ответственность за кражу будет возникать при стоимости имущества на сумму, которая превышает 107 грн. 30 коп. (0,2 налоговой социальной льготы).

Интересно, проводится ли тестирование разработчиками банка «на продакшне»? Если да, то ПБ таким образом может обвинять самого себя сколько угодно.

John Wane

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 07.09.2013 20:50

Интересно, проводится ли тестирование разработчиками банка «на продакшне»? Если да, то ПБ таким образом может обвинять самого себя сколько угодно.

Скорей всего у них продакшен точно такой же, как и на железной дороге, стоит тестовая машина, которая является копией реальной в какой-то момент времени, чтобы максимально приблизить серду к реальному миру.

Oksana Chuiko

Олексій Пєніє 07.09.2013 20:54

Поверь человеку который там работал. Многое вообще не теститруется, или тестируется чисто формально (те места где ошибок точно нет).
Основные баги заложены уже в тех.задании. Их обнаружение — наказуемо.

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 07.09.2013 21:03

Touché! :) Я исходил из здравого смысла :)

John Wane 07.09.2013 21:27

Если бы железная дорога работала как ПриватБанк:
1. Вы недоехали до пункта назначения, потому как сидели в вагоне не того цвета.
2. Хоть вы едете один, оплатите оба билета потому как система дала сбой. Деньги вернем через 7 рейсов поезда.
3. На вашем месте по билету уже сидит кто-то? Зайдите в вагон снова — неактуальная информация о пассажирах обновится.
4. Зайдите за билетом в кассу завтра. Ну а мне какое дело до того, что Вам ехать надо сегодня?
5. Касса работает без монет, а сдачу до 50 грн. перечисляет в местный собачий приют.
6. Вы действительно желаете чтобы я распечатала билет? Подумайте об экологии лесов в Финляндии!
7. Вместе с билетом даже на электричку, обязательно продавали бы 10 пакетов чая и 2 пакета постельного белья в рамках комплексного обслуживания.
8. Повсюду бы висели плакаты: «Вам не понравилась поездка нашим поездом? Постучите в рельсу!»

Олексій Пєніє 08.09.2013 09:57

1. Билеты будут проданы до того, как рельсы достроены.
2. Рельсы не будут достроены никогда, ибо формально уже сданы в эксплуатацию.
3. Но в поезд вы не сядете, потому что терминал не работает. Хотите ехать — оплатите наличными.
4. За неудачную попытку купить билет тоже возьмут деньги. (За неудачный вход в Приват-24 есть оплата — вы знали?)

10. К тому моменту когда рельсы всё же достроят отдельным проектом (о чём никому не скажут), и билеты можно будет купить по нормальной цене (о чём не будут знать даже сотрудники), и работать будут без терминала — в поезде будет три пассажира. Из них двое — сотрудники безопасности чтобы никто не мошенничал. И ребёнок пришедший покататься.

John Wane

Oleksandr Bystrikov Software Engineer в Svitla Systems 17.09.2013 18:08

Прочитал и припомнил. Подскажите, мне одному в терминалах самообслуживания приватбанка аппарат презренно выплевывает чек на пол после отказа сохранить дерево?

John Wane

Oleg Leschinsky Software Engineer 08.09.2013 10:59

Тот факт что сделали фотографии Алексея в отделении, просили написать пояснительную

По старому КПК фотографировали только при возбуждении уголовного дела. То есть, к «порешать» дорисовывается нолик. Как по новому я не в курсе.

Если писал без адвоката, то 95%, что срок себе уже нарисовал.

John Wane

Олексій Пєніє 07.09.2013 14:05

Приватбанк настолько «бедный», что нанять специалистов IT-безопасности не по карману. Тут уж невольно вспомнишь про бедного еврея.

Mike Gorchak Graphics Device Driver Developer в QNX Software Systems 07.09.2013 13:56

Ни одно доброе дело не останется безнаказанным.

anonymous 07.09.2013 14:04

А могли и посадить.

Олексій Пєніє 07.09.2013 14:05

Всё ещё могут.

anonymous

Oleksandr Zhevedenko Team Lead / Lead SDET в GlobalLogic 07.09.2013 17:32

Так будут пытаться ИМХО. Приват — это очень интересная контора. В плане происходящего там.

anonymous

anonymous 07.09.2013 13:50

Мохов молодец. Приватбанк, как всегда: большой и нарядный, но крепко сидит в луже.
Ну а вообще, хорошо что в Украине нашлось в чём искать уязвимость, а то всё время то гугол то фэйсбук.

Volodymyr Kholoshenko SWE в Google 07.09.2013 13:41

А чего еще было ждать от этого чудо-банка?

Vitaliy Bondarenko Працює в Amazon 07.09.2013 13:41

Ясно, что в нашей стране такого делать нельзя.

Олексій Пєніє 07.09.2013 14:07

В банковской отрасли так делать нельзя! Вот что ему помешает сейчас опозорить банк уже в англоязычном сообществе, чем существенно подорвать финансовые рейтинги?

Vitaliy Bondarenko

Димон 07.09.2013 14:14

Вот что ему помешает сейчас опозорить банк уже в англоязычном сообществе, чем существенно подорвать финансовые рейтинги?

Жажда жизни?

Олексій Пєніє 07.09.2013 17:09

Нет воды — туши бензином? Ещё раз и по-русски: проблемы дипломатии нельзя решить силовыми методами. Суть денег есть доверие, и если его подорвать — деньги испарятся.

Хватит ОДНОЙ угрозы, чтобы следующий «тест» прошёл более удачно. С реальным выпилом бабла. Я даже уверен, что этот случай, даже в текущем состоянии, уже побудил других, менее публичных персон начать копать на предмет подчистить кошельки клиентов Привата. И каждое упоминание только добавит масла в огонь.

Если бы банк действительно привлекал акционерный капитал, то инцидент моментально прорисовался бы на биржевых котировках невосполнимым проседанием. Но вы догадываетсь, что в стуктуре Привата есть не только банк. И там уже далеко не дураки сидят, и ради дешёвых понтов рисковать репутацией не станут.

Димон

Вера Кузнецова 07.09.2013 17:13

Ой. Он рейтинги делает на укробыдломассе.

Олексій Пєніє 07.09.2013 18:02

Не скажи. Fitch на массе не сделаешь. Им повезло что успели проскочить в этом году до инцидента.

Вера Кузнецова 07.09.2013 18:11

Эти рейтинги дутые. Показатели подгоняются под нужные уровни. Приходилось сталкиваться.

Олексій Пєніє 07.09.2013 18:42

Но в случае проблем агентство предпочтёт не марать руки.

Eugene Kirian Senior Software Engineer в Morningstar 07.09.2013 21:08

Fitch и другие рейтинговые агентства выдают кредитный рейтинг. Им не важна политика банка, им важны только цифры рисков. Кстати рейтинг на уровне B — весьма посредственный.

Олексій Пєніє 08.09.2013 10:15

Он не может быть выше рейтинга страны. А ещё эта буковка сильно влияет на то под какой процент может брать банк на внешнем рынке.

И поверь, там кроме прямых финансовых показателей есть факторы, которые лучше не трогать. Трепаться об этом не стану, всё-таки подписывал неразглашение. Скажу только что доверие рынка подрывать не стоит — можно вообще лишиться рейтинга.

Приватбанк запросто может выйти и на А+, достаточно весьма простых (но радикальных) действий со стороны руководства. Буквально добавить пару типовых функций, и строго запретить пару «типичных» действий. Учитывая что Приватбанк есть не только в Украине, это вполне возможно. Но воз и ныне там.

Eugene Kirian

Eugene Kirian Senior Software Engineer в Morningstar 08.09.2013 10:48

Да, да, я в курсе, прочитал несколько книг про банковскую сферу.

Я вообще за то чтобы финансовую сферу в Украине привести к общеевропейской, очень уж удобно иметь IBAN номера счетов, и кроме этого номера больше не заботиться про другие реквизиты.

Но воз и ныне там.

Значит это им выгодно.

Олексій Пєніє 08.09.2013 12:19

Значит это им выгодно.

До какого-то времени так было везде. И очень долго. Значит ли что было выгодно? Нет. Просто в какой-то момент пришли предприниматели, и рискнули сделать лучше.

А бюрократы всегда будут охранять «как есть», даже в самой дерьмовой ситуации. И считать положение вещей выгодным. Это самообман.

Eugene Kirian

Stefan-Augustyn Jędrzejewski 10.09.2013 22:00

Фінансові рейтинги? У «тупих американців»? Та Коломойському це до одного місця...