×Закрыть

Украинский программист сообщил ПриватБанку о найденной уязвимости, а в ответ получил обвинение в мошенничестве

Программист из Киева Алексей Мохов, бывший сотрудник украинского Samsung и Viewdle, нашел уязвимость в Android—приложении «Приват24» (технические подробности здесь: ain.ua/2013/09/04/137788 ) и сообщил в банк о найденной дыре в безопасности.

В ПриватБанке Алексея приняли и выслушали. Но потом на всякий случай обвинили в попытке украсть средства со счетов клиентов банка: www.capital.ua/...a-vzloma-i-krazhi-sredstv.

Здесь Алексей подробно рассказывает, как нашел уязвимость и почему, по его мнению, обвинения со стороны банка безосновательны: kpishnik.kpi.ua/archives/1114.

Интересно, чем эта история закончится.

LinkedIn

Лучшие комментарии пропустить

Банкомат Приватбанку:
— Вставте картку
— Вставив
— Оберіть мову
— Українська.
— Введіть пінкод
— ****
— Лотерея — виграй стопітцот мільйонів
— Ні!
— Виберіть пункт меню
— Зняти готівку
— Введіть сумму
— 150
— Бажаєте оплатити мобільник?
— Ні.
— Пожертвувати гроші безголовим діткам?
— Ні.
— Ви впевнені, що хочете зняти бабло?
— ТАК!
— Виберіть пункт меню
— Зняти готівку
— Введіть сумму
— 150
— Бажаєте оплатити мобільник?
— Ні.
— Пожертвувати гроші безголовим діткам?
— Ні.
— Ви впевнені, що хочете зняти бабло?
— ТАК!
— Хочете купити авто в кредит?
— НІ С...!
— Виберіть мову інтрфейсу.
— УКРАЇНСЬКА КУРВА Я ВЖЕ ЦЕ ВИБИРАВ!!!!!
— Спробуйте наш новий сервіс — смс у пекло за 0.99 грн.
— ТА ЙДИ НА..., ДАВАЙ БАБЛО С...!!!
— Видрукувати чек?
— НІ!!!!!!!!!!!!!!!!
— Вибачте, сталася помилка, спробуйте ще раз

© Авторство не моё, но где взял не помню.

Всю PR службу разогнать к чертям. Я понимаю, что безопасники — это карающие органы, и по-другому они не умеют. Но что произошло фактически:

  • Банк выпустил дырявое приложение. Заведомо дырявое.
  • Банк не нанял специалистов, не делающих столь глупых ошибок. Сэкономил.
  • Банк нанял и пооощрил специалистов, делающих быстро и красиво.
  • Банк не имеет технологии исправления ошибок. Любая найденная ошибка ведёт не к исправлению, а к поиску виноватых и деланью вида что их нет.
  • Банк не имеет работающей технологии стимулирования качества. В любом промежуточном звене отработка ошибок наказуема. Поощряется «замятие» вопроса, это считается решением.

Когда нашли:

  • Банк принял в штыки, и даю гарантию 200% попытался отбрехаться общими фразами.
  • Банк посчитал проблемой не ошибку, а факт её нахождения.
  • Более серьёзной проблемой банк посчитал человека.
  • Банк наказал человека. Обвинение — это уже наказание, и реакция последовала.
  • Банк сделал всё, чтобы показать что он «всегда прав». Клиент всегда неправ.
  • Банк приложит максимальные усилия, чтобы доказать что все неправы. В лучшем случае «неправильно поняли».
  • Банк наверняка накажет непричастных. Скорее всего одного человека. И уволит по собственному желанию. Так уже было, можете погуглить скандал о Юниор-картах и показ по ОРТ.

Как надо было сделать:

  • Дать премию! Публично!
Тогда репутация пошла бы в плюс. Это обошлось бы дешевле запугивания. А по эффективность пиара превысила бы эффективность любой рекламной акции банка. Так что это феерический прокол службы пиара — вместо того чтобы взять на себя отвественность и выиграть ситуацию, засунули голову в песок и самоустранились. Фактически разрешив банку публично повернуться голой задницей к клиентам. Повторится ли это снова? Так ведь уже было, не так ли?

К сожалению данный случай не исключение, можете поспрошать Хабр насчёт Приват-24. И какое было отношение к нашедшему.
Итого: в банке люди хорошие, но кадровый вопрос их немножко испортил.
А ведь лозунг «клиент всегда прав» первым в Украине появился именно у Приватбанка. И это были времена его расцвета.

— У Вас дыра в безопасности!
— Слава Богу, хоть что-то у нас в безопасности....

Ни одно доброе дело не останется безнаказанным.

Очень странно, у них только недавно висели банеры на сайте найди «дыру получи 10000», учитывая сколько глюков встречал при работе с П24, даже посмотрел условия, в принципе всё с чем я сталкивался не подпадало под условия вознаграждения.
Судя по всему у Мохова получилось сорвать джек-пот, но «казино» с деньгами не расстанется.

Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Дмитрий Дубилет:

Алексей [Мохов], кстати, отличный парень. Я с ним недавно познакомился, мы с ним обсуждаем возможность того, чтобы он присоединился к нашей команде. Тогда вышло недоразумение, которое, к тому же, как раз наложилось на день, когда меня назначили на должность IT-директора.

ain.ua/...13/10/10/496465

Я в день провожу около 20 диалогов с клиентами в Facebook. Это не просто, порой из-за этого не можешь полночи заснуть, но это очень полезно для банка.

какое мимими, бозе-бозе, прям слезки умиления из глазонек

Год назад наш председатель правления сказал, что мы «недостаточно быстро бежим» в развитии своего понимания технологий для смартфонов. Тогда каждый топ-менеджер получил указание лично запустить мобильное приложение, причем не обязательно банковское (программировать, конечно, не заставляли, но подготовить и защитить мокап на Axure или Базилике должен был каждый). В итоге у нас появились десятки приложений, большинство из которых, правда, так никогда и не попало во внешний мир.

пи-пи-пи...ц © живой классик

вот то-то что сей плод нечистого бениного семени (я за превед-банк, ежели что) ни делает — все кпсс получается

а пацанчик хорош, чисто канкретно
попомните мое слово — хорошую карьеру в этой стране сделает

Я вот лично после того, как увидел, как работают американские банки с транзакциям по кредитным картам, вообще в шоке с отечественных банков. Вот у нас, например, как: если с твоей карты стырили деньги — значит, сам дурак. Даже если карту украли, а потом все с нее вынесли — это личное горе пострадавшего. Т.е., изначально презумпция виновности. А там не так совсем (и из-за чего добавляется головняка на написание антифрод-системы). Там если ты видишь, что какую-то транзакцию не проводил, особенно если украли карту, и не успел ее заблокировать, — ты просто ее оспариваешь, хоть даже в телефонном режиме. И сразу же тебе банк эту сумму возвращает. А потом уже идет анальная кара: или могут наказать мерчанта, которому по этой транзакции сумма зачислилась, как минимум — забрать деньги обратно, или посадить в тюрьму заявителя за мошенничество + пожизненный бан ему в кредитную историю. Итого: оплачивается предоплаченный сервис ворованной кредиткой, его использовали, а потом БАЦ — и с мерчанта забирают эту же сумму на ровном месте ) Страдают там компании — мерчанты от фродстеров и кардеров довольно сильно. А не простые смертные граждане.

Не забывайте про законодательное урегулирование в США этих рисков — $50 максимум.
Electronic Fund Transfer Act

А Украина богатая страна — 1500 грн
Про здійснення операцій з використанням спеціальних платіжних засобів
6.9. Користувач, як виняток, до часу подання повідомлення
та/або заяви емітенту несе збитки, обумовлені незаконними
діями/сумнівними операціями зі спеціальними платіжними засобами,
які відбулися в результаті використання втраченого спеціального
платіжного засобу, до максимальної суми, яка не може перевищувати
1 500 гривень,
крім випадків, коли користувач діяв з порушенням
правил використання спеціального платіжного засобу або умисно, у
разі чого така максимальна сума не застосовується.

Причем и даже это не работает. В договоре с ПриватБанком описана полная ответственность клиента ( 1.1.5.13 из privatbank.ua/.../01092013ru.pdf )

Плюс такой момент как подача заявки через Приват24 на открытие карты для каких-то рисковых стран — это до договору принятие клиентом ответственности за все операции ( 2.1.1.9.7. и 2.1.1.9.8.)

Также как и установка лимита для оплаты в Интернет — тоже ПриватБанк договором снимает с себя риски ( 2.7.6.10.12. )

Electronic Fund Transfer Act
Многа букаф ни асилил. Но то, что $50 — это не максимум — это уж поверьте.

честно говоря просто за такое приложение привату должно быть стыдно. оно работает через пень колоду. слава богу что не крешится на каждом шагу.

Кто сказал что не крешится? Крешится на айфоне еще как.
А еще недавно логин в Приват24 приложение на телефоне упростили, типа зачем присылать при логине смс-ку на телефон с которого собственно человек и так логинится. Все вроди бы логично, только при этом забыли поставить проверку что телефонный номер того телефона с которого логинятся совпадает с телефонным номером акаунта, в которых производят вход.

Итог — можно логиниться в приложение Приват24 под любым юзером зная только его первый пароль.

На Android часто вылетает, особенно после апдейта на маркете

На хабре появилось
habrahabr.ru/post/193204
Комменты порадовали:
Прикол из жизни.
Я завел в аккаунт ПБ свою штатовскую карту, а через 12 часов мне позвонили из Визы за разрешением блокировать карту — ею уже пытались уплатить на украинской автозаправке.

Вы еще в паре мест ваше сообщение продублируйте. Ну так, для надежности. А то вдруг, мало ли что бывает. Сами знаете.

Пошёл он в жопу этот приват.
Почему люди туда до сих пор добровольно идут клиентами быть?

Ну по расчетно-кассовому обслуживанию ему нет равных, к сожалению

Костя, а почему «к сожалению»?

И, кстати, история немного переврана СМИшниками kpishnik.kpi.ua/archives/1114
Думаю, парню заплатят таки за обнаружение дыры, а виновных сильно покарают

Ну просто если бы были достойные альтернативы, то я бы уже давно сменил банк... Но их пока нет... А в остальном, что касается других банковских услуг, то приват по сути аутсайдер

С точки зрения удобства пользования — не вижу проблем кроме банкоматов подтупливающих. А так — всё достаточно удобно и наглядно. С безопасностью тоже проблем нет. Мне кажется, что у тебя остались предубеждения ещё с тех пор, когда Приват действительно не думал о своих клиентах =)

Простите за оверквотинг, но спёрто с Хабра:
=Прикол из жизни.
Я завел в аккаунт ПБ свою штатовскую карту, а через 12 часов мне позвонили из Визы за разрешением блокировать карту — ею уже пытались уплатить на украинской автозаправке. =

я ж это только что прочитал тут выше... и на хабру не ходи =)

В тех поддержки привата работает быдло, могут послать или просто выйти из чата

Денис, насколько мне известно, каждый клиент имеет возможность поставить оценку компетентности обслуживающего его сотрудника банка — после обращения в колл-центр клиенту поступает автоматический звонок с просьбой оценить работу. И не совсем понятно, почему вы пишете о «быдле» тут, а не сообщаете в горячую линию ПриватБанка.

С таким же успехом можно позвонить в рельсу, которая висит при входе.

Ок. Тогда расскажу для примера свой случай. Был в очереди в одном из отделений банка на получение карты. Передо мной 6 человек. Ждал около получаса. Когда подошла моя очередь, девушка сказала, что у неё перерыв и отказалась меня обслуживать. В принципе, она полностью права. Ноя отправил смс на указанный на двери в отделение номер. После чего мне перезвонил какой-то дядя, выслушал ситуацию и пообещал перезвонить после выяснения. Через два дня я получил от него же звонок с информацией о том, что девушку депремировали на сколько-то там процентов. Если ничего не делать — вы и не получите качественное обслуживание. Это как с услугами ЖКХ. Или вы ожидаете, что в банках работаю не такие же люди, как во всей нашей Уркаине?

Если ничего не делать — вы и не получите качественное обслуживание.
У меня была точно такая же ситуация, только вместо перерыва была какая-то мифическая инкассация, из-за чего закрыли кассу не по графику. Позвонил, настучал. Как сидела та жиропа, так и сидит на кассе, хозяйка вселенной.
В принципе, она полностью права.
Через два дня я получил от него же звонок с информацией о том, что девушку депремировали на сколько-то там процентов. Если ничего не делать — вы и не получите качественное обслуживание

Не раскрыта тема связи между качеством обслуживания и депремированием девушки, которая в принципе права? ИМХО вы просто ей отомстили за неудобства. Банк же как и в ситуации описанной в посте — просто назначил крайнего.

А депримировать по идее должны были не её а старшего в отделении. при очереди в 6 человек в кассу, не помешает открыть ещё одну кассу и устроить между ними лоадбалансинг :)

депремировали
.... жалко девушку... красивая хоть была?)

Начинал читать, думал что история про заправку =))

.... жалко девушку... красивая хоть была?)
А что — если красивая, то может садиться на голову?
ерез два дня я получил от него же звонок с информацией о том, что девушку депремировали на сколько-то там процентов.
ЛОЛ, какой-то дядя позвонил и сказал ... =)

Я пробовала, с меня спросили «id чат-сессии». А его нет, ибо разговор в чате не считается активностью в приват24, и если ты не ходишь по страницам, тебя может внезапно выкинуть из системы с потерей чат-сессии.

ну нормально, а вы их разве не посылаете?)

Почему люди туда до сих пор добровольно идут клиентами быть?
Он держит 51% депозитов Украины. Логично, что он может рухнуть только вместо со всей страной. Почему бы ему не доверять?

На прошлой неделе нужно было перевести n-ную сумму денег в американский банк. Перезвонил в несколько банков крупных, везде надо было идти в банк. Зашел в Приват24 и все сделал за 5 минут. Деньги пришли на следующий день.

Ну, якщо крім Привата24 не бути підключеним до інших систем, то альтернатив таки не буде...

Я подключен к трем крупным банкам. Из них только в Приват24 можно зайти онлайн и сразу отправить деньги в любую точку мира. В других нужны какие-то дополнительные действия, например идти в банк и активировать эту возможность.

А по какой системе отправить? SWIFT?

При всём богатстве выбора — альтернативы нет.

Из них только в Приват24 можно зайти онлайн и сразу отправить деньги в любую точку мира.
Главное отправить куда надо. Попробуйте провести расследование потерянных денег при переводе с помощью огрызка свифтовки из привата24 :) Только что зашёл в онлайн банкинг маленького, но гордого банка, там есть SWIFT переводы. Эка невидаль :)

Более того, у одного венгерского банка в Украине — SWIFT можно отправить даже по телефону (первый раз шаблон правда сложно диктовать, а потом всё просто).
Причем сделаете это именно Вы — а не тот кто час назад востановил СИМку. Используется генератор паролей в виде брелока + пароль.

Вот из-за таких людей — которые наивно верят:
* У банка 8000 банкоматов по всей Украине. vs. А Вам надо все 8000? Или достаточно возле дома и офиса чтобы был? Плюс в некоторых тарифах других банков есть бесплатные снятия в любом банкомате Украины.

* У ПриватБанка 51% депозитов — он не упадёт. vs. В банке большая доля депозитов физических лиц в активах и поэтому выплата депозита в полной сумме в случае банкротства будет осложнена из-за осутствия активнов других очередей банкротства. Также в банке велика доля кредитов выданых аффилированным компаниям.

* Более удобного инет банка не видел vs. А вообще какие видили и когда смотрели?

* У него полно отделений по Украине vs. А не проще ли пройди еще 500 метров и зайти в другой банк сделать платёж на любой счёт, чем стоять в очереди час?

Вообще если основываться на статистике, то Вам может показатся что все мы дышим азотом, потому как его >70% в том что вдыхаем.
Но пользу на самом деле основную приносят нам только 20% кислорода.
Так и с Приватом — статистика класная, но кому от этого лучше — банку или клиенту?

Но пользу на самом деле основную приносят нам только 20% кислорода.
кислород в чистом виде -яд

не слышали, что азот-то как раз можно заместить, например, гелием?

Поэтому на «Джемини» и «Аполлонах» астронавты дышали чистым кислородом?

На Apollo уменьшали давление почти в два раза, а это равноценно концентрации в дыхательной смеси где-то 60% кислорода и 40% азота по земным меркам. При земном давлении космонавты бы «сгорели» за сутки.

Конечно. Но ничего, кроме кислорода, в атмосфере Аполлона не было

кислород в чистом виде -яд
Он таки был чистым

— У Вас дыра в безопасности!
— Слава Богу, хоть что-то у нас в безопасности....

Уязвимость это когда любая домохозяйка может взломать не нарушая лицензии об использовании, а здесь реальный хакинг с дизасемблированием и подменой параметров. Закроют Мохова на N лет или пожизненно отрабатывать в банке.

Стаття 24. Вільне копіювання, модифікація і декомпіляція
комп’ютерних програм

1. Особа, яка правомірно володіє правомірно виготовленим
примірником комп’ютерної програми, має право без згоди автора або
іншої особи, яка має авторське право на цю програму: ( Абзац
перший частини першої статті 24 із змінами, внесеними згідно із
Законом N 850-IV ( 850-15 ) від 22.05.2003 )

1) внести до комп’ютерної програми зміни (модифікації) з
метою забезпечення її функціонування на технічних засобах особи,
яка використовує ці програми, і вчинення дій, пов’язаних з
функціонуванням комп’ютерної програми відповідно до її
призначення, зокрема запис і збереження в пам’яті комп’ютера, а
також виправлення явних помилок
, якщо інше не передбачено угодою з
автором чи іншою особою, яка має авторське право;

zakon2.rada.gov.ua/...w/3792-12/page2

якщо інше не передбачено угодою з
автором чи іншою особою, яка має авторське право;

Я не читал лицензионное соглашение приветбанка, но уверен, что там есть запрет на реверс-инжиниринг.

если и не было, то уже скорее всего есть =)

Там не було виправлення помилки, а навпаки використання помилки для обману системи.
Може для когось помилка що программа не працюэ в повному обсязi без лiцензiйного ключа можна теж декомпiлювати i модифiкувати?

Скорее всего, кто-то, кто несёт ответственность за безопасность и прочее, понял свой про(job) и попытался выгородить себя, свалив вину на другого человека. Позор тем, кто это сделал.

А представляете если бы приват выплатил ему за это... или через суд. Имхо это их единственный правильный выход с данной ситуации, а людям надо смотреть шире, дело то далеко не в гуманности. Хотя и не верится мне, что человек не начал пытаться пользоваться «находкой» и потом, осознав, в панике попытался спастись под видом помощи... безликому существу. Это тоже имхо.

Банкомат Приватбанку:
— Вставте картку
— Вставив
— Оберіть мову
— Українська.
— Введіть пінкод
— ****
— Лотерея — виграй стопітцот мільйонів
— Ні!
— Виберіть пункт меню
— Зняти готівку
— Введіть сумму
— 150
— Бажаєте оплатити мобільник?
— Ні.
— Пожертвувати гроші безголовим діткам?
— Ні.
— Ви впевнені, що хочете зняти бабло?
— ТАК!
— Виберіть пункт меню
— Зняти готівку
— Введіть сумму
— 150
— Бажаєте оплатити мобільник?
— Ні.
— Пожертвувати гроші безголовим діткам?
— Ні.
— Ви впевнені, що хочете зняти бабло?
— ТАК!
— Хочете купити авто в кредит?
— НІ С...!
— Виберіть мову інтрфейсу.
— УКРАЇНСЬКА КУРВА Я ВЖЕ ЦЕ ВИБИРАВ!!!!!
— Спробуйте наш новий сервіс — смс у пекло за 0.99 грн.
— ТА ЙДИ НА..., ДАВАЙ БАБЛО С...!!!
— Видрукувати чек?
— НІ!!!!!!!!!!!!!!!!
— Вибачте, сталася помилка, спробуйте ще раз

© Авторство не моё, но где взял не помню.

Трушный банкомат привата должен спрашивать пинкод после каждой интерации — вдруг это не вы, а тот парень из очереди за степухой не успел подсмотреть.

Забыли упомянуть про паузы по 15 секунд между каждым новым сообщением и идиотскую особенность отдавать бабло, но не отдавать карточку (в большинстве сначала забираешь карточку, что бы не забыть, а потом деньги).

это как раз плюс. может, я не только за баблом пришел а еще хочу операции сделать? телефон там пополнить или еще что.
а те торопливые банкоматы, которые заставляют спешно ловить карту, пихать в кошелек, чтобы успеть забрать деньги — пусть снятся в кошмарах своим разработчикам.

Как дважды прошедший через 7 кругов ада восстановления забытой в таком «замечательном» банкомате карточки — не могу с вами согласиться
И я не помню ни единого за многие года пользования банкоматами случая, что бы мне надо было еще что-то делать после снятия налички. Можно примеры?

примеры. разумеется.
1. я хочу снять несколько определенных сумм.
например, 170 грн папе, 140 грн маме и 190 грн детскому дому.
не хочу получить одну бумажку и резать на части, хочу, чтобы железный ящик поделил деньги для меня.

но никакие примеры не вылечат от склероза рассеяности.

мне удобнее сам принцип, когда я решаю, что пришло время забрать деньги — и не спеша их прячу. спрятав, я так же решаю, что теперь мне удобно забрать карточку и положить её в кармашек.

поэтому банкоматы, заставляющие в спешке и двумя руками манипулировать тремя предметами (кошелек, карточка, пачка денег) — мне не нравятся.

банкомат мог бы предоставить опцию выбора набора купюр. забытая в банкомате карта — это намного большая боль, чем боль утраты 100-200 грн.

я не хочу считать, какие наборы купюр у меня войдут в 175 грн. боль утраты — это ваше личное халатное отношение к своим документам (банковской карте). которая, опять же, восстанавливается за полчаса.

м (банковской карте). которая, опять же, восстанавливается за полчаса.

За 10 рабочих дней вообще-то

Хм, зависит от банка, наверное. В том самом, «адовом» ПБ уходишь через 15 минут с карточкой, которая активируется через сутки.

ну это другая пьянка :). С другой стороны, держать все деньги на часто юзабельной карточке — плохой тон. Особенно, если её долго востанавливать.

Хотя на кройняк, в том же ПБ вам довольно шустро откроют обычную карточку (моментальная. чтоли?) куда можно запросто перевести деньги — и юзай на здоровье.

В будь-якому банку ідеш за лічені хвилини із карткою, якщо ти нормальний клієнт...

у вас, наверное, какая-то мажористая карточка или зряплатная.

и разумеется, все эти 10 рабочих дней вы с 9 до 18 обязаны провести в офисе привата, а снимать деньги с паспортом в кассе — низзя и ай-яй-яй.

7 кругов ада — это зайти в банк и забрать новую карточку? (я бываю довольно несобранным, и в один месяц «восстанавливал» карточку 3 раза).

еще сфотаться )))))

номер тот же остается?

забывыл, восстанавливал, научен.
на самом деле, почти все банкоматы там работают. Из тех, с которыми сталкивался, только Авалевский и Кредобанковский дают карту, а потом — деньги

Из тех, с которыми сталкивался, только Авалевский и Кредобанковский дают карту, а потом — деньги
Пиреус, OTP.

Эксим тоже. Пока не извлечешь, даже считалка купюр не запускается.

а те торопливые банкоматы, которые заставляют спешно ловить карту, пихать в кошелек, чтобы успеть забрать деньги — пусть снятся в кошмарах своим разработчикам.
Украинцы по темпераменту всё-таки не эстонцы, да и банкомат — это не булочная и не кофейня, отдал деньги по-быстрее и обслуживай следующего. Тем, кому нравится медленное обслуживание пусть идут в отделения приватбанка, там будет время подумать о вечном и нетленном и быть забытым.

Очень странно, у них только недавно висели банеры на сайте найди «дыру получи 10000», учитывая сколько глюков встречал при работе с П24, даже посмотрел условия, в принципе всё с чем я сталкивался не подпадало под условия вознаграждения.
Судя по всему у Мохова получилось сорвать джек-пот, но «казино» с деньгами не расстанется.

Они хозяева своего слова: слово дали — слово забрали :)

Вот тут 50 на 50. Сталкивался и с тем и с другим.

Для этого надо было подать через нужный канал.
Кстати, естть люди получившие такое вознаграждение, и Приватбанк вплоне охотно платит по таким программам. Если кто знает — можете пробовать, рекомендую. Но как правильно заметили, банк в самих условиях описал что не является багами (читай — так и надо).

Ну тогда всё ясно, Мохов попал в стандартную проблему корпораций, когда есть строгая политика и все знают, что делать (кого обвинять или поощрять), но чуть ситуация не соответствует правилам, начинается бардак и зачастую не адекватные решения.

Он попал по яйцам корпорации :)
Так как сделал он — делать нельзя. В смысле публиковать в твитере. Это можно делать лишь в одном случае — хочешь погубить организацию и готов к тому что она ответит. В данном случае — легко отделался. А ведь могли и убить. Не организация — вполне конкретный человек мог быть жестоко наказан внутри банка, и не имея возможности ответить банку — заказал бы Алексея.

Да, это противозаконно. Но люди подчиняются не закону, а интстинкту. И убивают, и это происходит каждый день. И лучше не проверять эти стимулы на практике!!!

Вы слишком омрачаете нашу действительность.
Вы бы знали какое количество мошеннических операций в день приходится рассматривать банкам, тут бы уже были реки крови.
Распространенная схема, это когда звонят Вам по объявлению в инете, говорят, что готовы у Вас купить то, что продаете, только назовите номер приватовской карты для перевода денег. Вы называете, потом у Вас «случайно» пополняется счет на 5 грн, раздаются два ошибочных звонка и далее через несколько часов у Вас блокируется симка. Потом у Вас пропадают с карточного счета 2К гривни. Причем нигде не взламывается система, все работает так как должно работать, но деньги уходят в чужие руки. Не знаю, может уже побороли эту схему, но полгода назад у меня знакомые попались.

А Приватбанк устраивала схема с мошенничеством через «Экстренные деньги».
Они ж даже продолжают считать % по кредиту с украденых средств!

05 липня 2013 року. Справа № 592/4805/13-к Ковпаківський районний суд м. Суми.
Вирок:
ОСОБА_2 просив стягнути з потерпілого 1623 грн., з яких 1400 грн. сума спричиненої шкоди злочином, 223 грн. відсотки за обслуговування кредитної суми.
Позов ОСОБА_2 підлягає задоволенню частково у сумі 1456 грн., тобто у розмірі прямої шкоди завданої злочином.
Законних підстав для стягнення відсотків за користування кредитом немає.
...
Реалізуючи свій злочинний намір, досягнутий з ОСОБА_1, 07.01.2013 року невстановлена особа з метою незаконного заволодіння грошовими коштами, підшукала в Інтернеті оголошення з продажу фотоапарату, яке розмістив мешканець міста Запоріжжя ОСОБА_2. Після цього невстановлена особа зателефонувала потерпілому. Видаючи себе за добросовісного покупця, виявила бажання придбати запропонований для продажу товар та запропонувала здійснити розрахунок шляхом грошового переказу на банківський рахунок в ПАТ КБ «ПриватБанку». Будучи введеним в оману стосовно дійсних намірів невстановленої особи, ОСОБА_2, не будучи обізнаним про можливість використання банківської послуги «Екстренні гроші» і не допускаючи можливості заволодіння своїми коштами, розцінюючи свої дії як правомірні та вигідні для нього, повідомив невстановленій особі особисті дані та номер банківського рахунку ПАТ КБ «ПриватБанк». Після цього невстановлена особа зателефонувала ОСОБА_2 та розіграла заплановану злочинну комбінацію, видала себе за працівника банку, запевнила ОСОБА_2 в наявності грошового переказу, на який він очікує. Впевнившись в наявності на рахунку потерпілого коштів та верифікованості сім-карти потерпілого до його банківського рахунку НОМЕР_1, невстановлена особа ввійшовши в довіру до ОСОБА_2, використовуючи його необізнаність про порядок використання банківських послуг, запевнила, що потерпілий має їй повідомити комбінацію цифр, надіслану банком на його мобільний телефон, яку ОСОБА_2 з власної необачності повідомив невстановленій особі. Даний код невстановлена особа повідомила ОСОБА_1, який ввів його на клавіатурі банкомату та отримав доступ до банківського рахунку ОСОБА_2 і за вказівкою невстановленої особи, будучи обізнаним про його злочинні дії та діючи повторно за попередньою змовою з невстановленою особою, в 14.58 год. в банкоматі міста Суми по вул. Троїцька, 26, викрав з рахунку ОСОБА_2 гроші в сумі 1400 грн.. Частину коштів відразу ж переказав на вказаний невстановленою особою банківський рахунок. Таким чином ОСОБА_1, діючи за попередньою змовою з невстановленою особою, таємно викрав з рахунку ОСОБА_2 гроші в сумі 1400 грн. та, з урахуванням стягнутих банківських комісій, спричинив потерпілому матеріального збитку на суму 1456 грн.

Самый большой прикол — что отключить услугу «Экстренные деньги» по просьбе клиента нельзя.
Но из-за массовости (более 60 случаев) мошеничества теперь ПриватБанк может ее отключить сам в случае замены СИМки (как-то через часть ОКС-7 протокола узнают? служебные СМСки?).
Вот так в самый неожиданый момент услуга может быть недоступна когда нужна, а зато когда не нужна — включена.

Прикол? Ты считаешь воровство денег и халантость банка смешной? Роль мошенников здесь минимальна, это банк предоставил и реализовал схемы воровства, и отдал деньги в руки воров при помощи своих же технических средств.

Единственная вина клиента — что он стал клиентом этого банка.

Я не понимаю, что мешало эту схему предсказать?
Я не понимаю, что мешало это схему отключить после первого же случая?
Я не понимаю, неужели банку действительно нужна такая услуга, чтобы не выключить её нафиг совсем, если не способны устранить мошенничество?
Я не понимаю, что мешает забрать у банка лицензию, если банк нарушает закон в сфере предоставления финансовых услуг?

Видно банк сэкономил и не купил точный предсказатель событий. Динозавры, что говорить.

Олексію, Ви давно відвідували психіатра?

странно, что не сразу ноги в цемент и в Днепр с моста

Ну так он и деньги не украл. Если бы украл — разговор был бы другой.

Ви щось плутаєте. Тазик-цемент-Кальміус. Не Дніпро :)

ПриматБанк такой примат.
А дыру с смс-банкингом закрыли?
Кратко: Именно на кредитке смс-банкинг отключить нельзя. Подключен всем и по дефолту.
Чтобы украсть мошенники выясняют номер кредитки и подвязанный к ней номер мобилки
Используя инет-шлюзы с подменой номера отправителя отправялют смс
PAY 4 последние цифры кредитки, сумму и карту назначения.
Вот это эпик-фейл, и ведроид-аппу колупать не нужно

Держись крепче — в 2008м кажется был момент когда они сами (!!!) посылали пароль (!!!) от Приват-24 на номер клиента. Без запроса!!! При этом не проверив, кто действительно владелец номера. И проигнорировав факт, что операторы передают номера другим абонентам.

С тех пор уже многое поменялось. Но сам факт, что банк имеющий 100500 айтишников и столько же безопасников — это сделал.

Хотя не очень и многое. Когда внедряли выдачу денег без карты — как людей просил, поставьте лимит на сумму 500грн! Нет же, позволили снимать весь кредитный лимит. И это до сих пор не исправлено, я не могу войти в Приват 24 и поставить лимит.

Хочу вас расстроить, но чтобы украсть ваши деньги с карты, достаточно просто знать её номер. Ни цвв2, ни экспдата не нужны =)

Можно детальнее? Это приватовский прикол? Насколько я знаю проверка цвв2 кода включена по умолчанию (по крайней мере в банках, которыми я пользуюсь — не Приват)

Алексей, цвв нужен при авторизации клиента со стороны внешних интерфейсов — банкоматов, интернет-шлюзов и прочего. Но внутри банка и между банками цвв не используется. При транзакциях используется номер карты. Поэтому имея номера карт и получив доступ «внутрь банка или системы» злоумышленник имеет возможность совершать противоправные действия.

При транзакциях используется номер карты
а не номер счета? о_0

нет, номер карты.

Это понятно то, но у вас было сказано так, как будто злоумышленнику извне достаточно знать только номер карты.

А как по другому, нормальные люди в привате работать не хотят, это касается не только ИТ отдела. Когда то меня собесили на андроид разработчика, если описать это коротко, то какой то бред.

Вот же забавно — никто не знает, как оно на самом деле — но все спешат обосрать. Да ещё и читают по ключевым словам. «Обвинил» — значит подал в суд. До тех пор никто никого ни в чем не обвиняет.

Всю PR службу разогнать к чертям. Я понимаю, что безопасники — это карающие органы, и по-другому они не умеют. Но что произошло фактически:

  • Банк выпустил дырявое приложение. Заведомо дырявое.
  • Банк не нанял специалистов, не делающих столь глупых ошибок. Сэкономил.
  • Банк нанял и пооощрил специалистов, делающих быстро и красиво.
  • Банк не имеет технологии исправления ошибок. Любая найденная ошибка ведёт не к исправлению, а к поиску виноватых и деланью вида что их нет.
  • Банк не имеет работающей технологии стимулирования качества. В любом промежуточном звене отработка ошибок наказуема. Поощряется «замятие» вопроса, это считается решением.

Когда нашли:

  • Банк принял в штыки, и даю гарантию 200% попытался отбрехаться общими фразами.
  • Банк посчитал проблемой не ошибку, а факт её нахождения.
  • Более серьёзной проблемой банк посчитал человека.
  • Банк наказал человека. Обвинение — это уже наказание, и реакция последовала.
  • Банк сделал всё, чтобы показать что он «всегда прав». Клиент всегда неправ.
  • Банк приложит максимальные усилия, чтобы доказать что все неправы. В лучшем случае «неправильно поняли».
  • Банк наверняка накажет непричастных. Скорее всего одного человека. И уволит по собственному желанию. Так уже было, можете погуглить скандал о Юниор-картах и показ по ОРТ.

Как надо было сделать:

  • Дать премию! Публично!
Тогда репутация пошла бы в плюс. Это обошлось бы дешевле запугивания. А по эффективность пиара превысила бы эффективность любой рекламной акции банка. Так что это феерический прокол службы пиара — вместо того чтобы взять на себя отвественность и выиграть ситуацию, засунули голову в песок и самоустранились. Фактически разрешив банку публично повернуться голой задницей к клиентам. Повторится ли это снова? Так ведь уже было, не так ли?

К сожалению данный случай не исключение, можете поспрошать Хабр насчёт Приват-24. И какое было отношение к нашедшему.
Итого: в банке люди хорошие, но кадровый вопрос их немножко испортил.
А ведь лозунг «клиент всегда прав» первым в Украине появился именно у Приватбанка. И это были времена его расцвета.

Заведомо дырявое
Не соглашусь.
Любое ПО общественного пользования является неявно дырявым или с багами. Поэтому и выходят постоянно обновления. Но тут был взлом, перехват и подмена. Т.е. закон не на стороне Алексея.
Приложение «Приват24» обменивается данными с банком и все данные пересылаются в зашифрованном виде. Но если на телефоне установлено приложение, которое «знает» протокол общения с банком, то оно может получить всю информацию от банка, не зная даже телефона/пароля в «Приват24». То есть, банк думает, что обменивается данными со своим приложением, как рассказал Алексей.
Если приват по транзакциям увидит, что были произведены хищения средств этим методом, то Алексею будет тяжело доказать свои хорошие намерения, даже если он пришел после этого в банк и сообщил.

Закон вообще не на стороне бизнеса. Закон имеет 100500 правил и норм как делать нельзя, и как якобы надо. Но я не знаю ни одного бизнеса ни в одной стране имра, к которому закон не мог бы при желании прикопаться.

Почему так — закон от природы бюрократия, посколько составлен бюрократами. Не бизнесменами. А бюрократия — враг бизнеса номер ноль. Идеальный человек с точки зрения закона — лежит на кладбище, наиболее близкий из реальных — пенсионер с минимальной пенсией.

Учитывая что банк имеет полный доступ к своим же данным, доказать может что угодно. Даже независимо от того, было ли что-то на самом деле. Если банк захочет доказать что я умыкнул 10 000 баксов — это займёт менее одного дня. Возможно даже и дописывать ничего не придётся — есть суды ну ооооочень лояльные банку.

В этой стране Приватбанк сильнее закона. По крайней мере по отношению к физическим лицам. И имеет все средства вполне «законно» сделать должником кого угодно. А уж клиентов подписавших договор — вообще без шума и пыли.

Так что решать придётся с банком. По-хорошему. Без вариантов. Но если банк решит по-плохому — факт что такое решение банку будет стоить дорого, и что самое важное — не решит проблемы а создаст.

Учитывая что банк имеет полный доступ к своим же данным, доказать может что угодно
Банк в данном случае это абстракция, типа агрегата. В больших системных банках подразделения между собой имеют слабую связность. Поэтому расформировуя определенное направление, типа автокредитования или ипотеки, или МСБ, остальные структуры не страдают. Также и безопасники, хрен они что-нибудь смогут поменять задним числом в закрытом операционном дне. Это им будет стоить дороже, куча будет завязок на другие подразделения и больше риска потом оказаться в мошенниках, чем выбить статью по премированию Алексея. Единственное что у них в силах, это навесить уже произошедшие случаи мошенничества по карточным счетам.
В общем, если Алексей не хитрил с этим до прихода в банк, то должен быть happy end.

Вы так говорите будто эта (или любая другая) организация состоит не из людей, а из железобетона. Это обычные люди. Собери их вместе, вывези в чистое поле — и они всё равно остануться банком и смогут решить вопрос.

Кстати, успешные организации так и делают. Хорошо отрезвляет, помогает видеть систему как она есть, а не лизать зад сферическуму коню.

Они и так вывозятся в чистое поле каждый год на день банкира и там они представляют из себя просто толпу, т.к. без банковского железа и софта они 0.

Приватбанк вроде бы расследует обвинение его не в том, что он взломал приложение, так как по украинским законам — дизасемблирование приложений для изучения разрешено, а в том что он для демонстрации использовал чужой счет.

Вот представьте — если бы взломщик использовал вашу квартиру для того чтобы доказать уязвимость замка? Вам было бы приятно?

Хотя Приватбанк умеет признавать ошибки и они расследуют случай, что оговорено в инструкции службы безопасности. По словам самого Мохова ему уже предложили работать в Привате.

PS
Если бы это было в Ощадбанке, его бы просто посадили на годик в СИЗО до окончания расследования.

По словам самого Мохова ему уже предложили работать в Привате.
Только ложка дёгтя портит бочку мёда, и факт вынесения обвинения исключает лояльное отношение. Это вопрос времени, когда конфликт приобретёт продолжение.

На самом деле не нужно устраивать истерику без фактов. Факт того, что банк ведёт расследование, не значит, что кто-то будет наказан (и молодцы, что проверяют)

Им бы опыт перенять у американских военных в плане утечек информации, тогда бы не было этого публичного позора. Это ж сколько нужно иметь куринных мозгов, чтобы вынести это событие на публику. Я одно время работал довольно тесно с бывшим полковником КГБ, он бы за такое в те времена лично расстрелял бы ... минимум три раза каждого, если бы такая утечка произошла на режимном объекте. Это ж грёбанный стыд, видать старой школы в привате не осталось.

Старая школа уже не может. Новая — ещё не может, и вряд-ли сможет. Ибо работать за «жрат» не подразумевает всестороннего развития

Старая школа уже не может.
Лет 10-15 она ещё будет ого-го, а потом сойдёт на нет.

Наблюдал на своем бывшем предприятии.
Когда старая школа в лице CSO с полной «упаковкой» технологий (экс. SBУ) не могла понимать и раскрывать многоходовки современного CFO. Хотя дельта в возрасте не превышает 25 лет.

Когда старая школа в лице CSO с полной «упаковкой» технологий
Старая школа была разной, тех которых обучали на внутреннюю работу заметно отличались от внешней, надо нанимать правильных людей для выполнения нужной задачи ;)
надо нанимать правильных
Спору нет. Но жадность руководителей исключает выполнение этого условия и в моем и в ПБ(ИМХО) случае.

Причём тут утечка. Ключевых данных не утекло, и вполне можно было решить вопрос PR-ходом типа «Приватбанк наградил преимей качества за найденную ошибку». СМИ бы растиражировали 100500 экземпляров, и реальная суть ошибки была бы уже неинтересна. И уже тогда тихонечко выпилили бы все упоминания сути.

Это проверенная годами практика. Но Приват на чужих ошибках не учится, ынновации млин!

Тогда бы все начали «пилить» ПБ на уязвимости. И их там есть много.
ПБ-овцы(ой как получилось) знают это, и дабы отвадить — сделают Мохову условное, чтобы другим неповадно было...

И он тогда [авось] совсем [авось] никому [авось] ничего [авось] не расскажет. Не думаю что кто-то в Привате на это решится. Потому что в случае проблем будут искать козла отпущения. Недолго будут искать.

Так ты не понял. Это для нас действия ПБ выглядят как действия слона в посудной лавке. А для ПБ они выглядят как выверенные действия. Они понимают, что дыр у них много, и если создать прецедент: за дыру — бабло, то их найдут много. А зачем им это? Они и так понимают, что они решето. По-этому Мохова, чтобы напугать, сначала по статье «Мошенничество с использованием ВТ», а потом как с барского плеча — условно. Дыру, найденную им — закроют. И вуаля.
Что такое 10тыс грн за дыру? Если по дыре Мохова можно было иметь во стократ больше!

Нельзя пугать. Один раз повесив ярлык «враг», вешаешь второй такой же на себя. Ты наверное просто не знаешь как ведут себя люди в состоянии испуга и в состоянии стресса. Они не выбирают правильное решение. А первое попавшееся. Спланированное. Даже с самым плохим планом — но изо всех сил и с привлечением всех доступных средств.

И чем сильнее напугаешь — тем больше необдуманных действий в ответ получишь.

Нужно либо не пугать, либо применять в полной мере. Другого не дано. В вопросах безопасности не бывает компромиса. Либо свой, либо чужой. И самая дорогая ошибка — перепутать.

Ты все говоришь правильно.
Но если бы так было, то этого топика бы не было.
А пока... Запасаемся попкорном :)

Я говорил, что распускать психологов — неправильно. Но банк это сделал, чем создал райские условия конуретнам. Ведь каждый их прокол — это повод выпилить долю рынка. И выпиливают...

Ваша помилка в тому, що Ви намагаєтесь шукати раціо в діях українських «бізнесменів», а український «бізнес» побудовано на докорінно інших принципах...

Причём тут утечка. Ключевых данных не утекло, и вполне можно было решить вопрос
Причём тут данные? Была утечка информации со стороны Привата. Алексей сделал всё, как подобает в таких случаях, он не трезвонил в инете, что нашёл уязвимость, он обратился сразу к организации, у которой была найдена уязвимость. Далее все действия привата не поддаются никакой логике безопасника, а это значит что безопасникам была вказивка молчать и заниматься своей работой дальше, и их мнение никого не интересовало, либо их просто нет там, в любом случае, это печально.
PR-ходом типа «Приватбанк наградил преимей качества за найденную ошибку».
Никаких ПР ходов, деньги в конверте, личная благодарность в идеальном случае. Будьте бдительны, товарищ, в дальнейшем. Да и вербовка на работу должна происходить совсем по другому, она должна быть молчаливой. Это в интересах обоих сторон.
Алексей сделал всё, как подобает в таких случаях, он не трезвонил в инете, что нашёл уязвимость, он обратился сразу к организации, у которой была найдена уязвимость.
Судя по сообщениям в вконтактике именно трезвонил, написал что вскрыл протокол, сказал что если кому надо обращайтесь, и тут же побежал давать интервью в АИН.

Разве это было не после озвучивания события приватбанком?

Хронология такая, 3-его сентября Мохов оставил сообщение в вконтактике. 4-его сентября вышла статья на АИН где говорилось что «Алексей говорит, что вчера уже отправил уведомление об уязвимости в службу безопасности банка.», т.е. он не дал ПБ и дня на пофиксить проблему. Помоему пареньку просто очень хотелось кулхацкерной славы, а добрые дела, это часть спектакля.

Но инфа что обвинили уже распространилась, и опровержения не последовало. По ситилю изложения я так понял что конфликт замять удалось. В этот раз. Но что осадочек остался — факт, а это значит в случае повторения весьма незанятные последствия.

Никто ж не говорит что не надо расследовать. Надо. Только отличать должны кто на светлой стороне, кто на тёмной. Достаточно 1 раз озвучить обвинение, и другие такие как он незамедлительно выберут тёмную сторону. А у обвиняемого появится повод сомневаться, и (важно) спланировать действия на случай агрессии. А далее как у Чехова, если на стене висит ружьё [составлен план действий], то теперь банк сильно заинтересован чтобы не сыграть последний акт пьессы.

И ещё — тёмная сторона ведь может выйти на Мохова. И сделать предложение от которого тот не сможет отказаться. Как вам такой сценарий, а? Могу сказать что банк такой сценарий не предусмотрел, и это его слабое место уже долгие годы.

Ща там в Ощаде векселепад. И одмины ответили шантажом на шантаж — уложили банкоматную сеть

Хренассе. Таки это правда про векселя, и творится повсеместно и централизовано?

По словам самого Мохова ему уже предложили работать в Привате.
Не понятно только, это бонус или наказание)

ну надо же как-то премию выплатить, вот и будет получать ее зарплатой :) по ставке и тарифной сетке

І чи залишили йому право відмовитись :-)

Зачем он вообще сунулся в Приват со своими советами? Ведь по сути этим он посягнул на компетентность приватовских особистов, а значит и на их высокие зарплаты, статус и прочие вкусности. А за такое можно не не только обвинение в мошенничестве схлопотать, но заработать встречу с парочкой гопников с битами в темном подъезде.
Большинство особистов это выходцы из органов, а что такое ОПГ МВД хорошо показали события во Врадиевке и многие другие случаи.
И кстати, успех этой затеи был бы возможен, если бы Алексей вышел не на Дубилета а прямо на Коломойского. Последний хоть заинтересован в безопасности своего банка. А Дубилету в первую очередь нужно, чтобы не было громких скандалов, которые могут скомпроментировать его как директора. И не исключено, что особисты еще и его друзья или родственники. На такие теплые должности кого-попало не берут.

А Дубилету в первую очередь нужно, чтобы не было громких скандалов, которые могут скомпроментировать его как директора.

Уже. На месте Приватбанка было бы правильно облизать Мохова со всей тщательностью , пока скандал не перерос в панику и люди не начали выводить деньги из Привата.

Выводить не начнут. Но вот захотят ли пользоватся сервисами — вопрос серьёзный.

Вы ищите теорию заговора, там где есть простая некомпетентность.
В такой огромной организации каждый из сотрудников получает деньги только за свою часть работу — пресс-секретарь за попытки (даже неудачные) отбеливания репутации банка, служба безопасности за расследования инцидентов и привлеченных к уголовной ответственности.

Цена вопроса начала уголовного преследования для них это цена 10-15 листиков А4 и уже не раз повторенный опыт.

Ошибку допустил Алексей что использовал крупную сумму при переводе в «proof of concept», в случае если это было бы 1 грн (или 1 коп) то в МВД стали бы на его сторону из-за малозначимости «преступления».

ПриватБанк уже подавал аналогичные заявления в 2010-2011 году в МВД и СБУ и получил отказы.
Но и раслаблятся не стоит, могут сделать выводы из прошлых отказов и действовать более опытно.

Тот факт что сделали фотографии Алексея в отделении, просили написать пояснительную, настаивали на личной встрече (вместо телефона/емейл) — это печальные звоночки.
В ситуации 2010 года, как видно из заявления, тогда сотрудник СБ ПриватБанка Стоян (пенсионер МВД) по телефону «общался» собирая улики.

Думаю там не теория заговора а тривиальное кумовство и круговая порука.

Все правильно Ярослав сказал. Только до Игоря он бы не добрался.

Минимальная сумма ущерба при краже для возбуждения уголовного дела

Согласно 185 Уголовного Кодекса Украины кражей является тайное хищение чужого имущества.

В соответствии со ст. 51 Кодекса Украины об административных правонарушениях, кража чужого имущества считается мелкой, если стоимость такого имущества на момент совершения правонарушения не превышает 0,2 необлагаемого минимума доходов граждан.
Как же уловить грань между уголовной и административной ответственностью, от которой существенно зависить санкция статьи?

Необлагаемый минимум доходов граждан в соответствии с пунктом 5 Подраздела 1 Раздела ХХ Налогового кодекса для целей квалификации совершенного по нормам административного и криминального законодательства устанавливается на уровне социальной льготы. Социальная льгота подпунктом 169.1.1 пункта 169.1 статьи 169 ПК равняется размеру прожиточного минимума для работоспособных, который устанавливается на 1 января отчетного года. Законом о Госбюджете-2012 этот минимум с 1 января 2012 года составляет 1073,00 гривен.

Однако, п. 1 раздела XIX устанавливает, что социальная налоговая льгота, установленная подпунктом 169.1.1 пункта 169.1 статьи 169 ПК Украине, вступает в силу с 01 января 2015 года. А до 31 декабря 2014 года для целей применения этого подпункта налоговая социальная льгота предоставляется в размере 50% размера прожиточного минимума для работоспособных, который установлен на 1 января отчетного года, то есть не 1073,00 грн., а 536 грн., 50 коп.

Таким образом, в 2012 году криминальная ответственность за кражу будет возникать при стоимости имущества на сумму, которая превышает 107 грн. 30 коп. (0,2 налоговой социальной льготы).

Интересно, проводится ли тестирование разработчиками банка «на продакшне»? Если да, то ПБ таким образом может обвинять самого себя сколько угодно.

Интересно, проводится ли тестирование разработчиками банка «на продакшне»? Если да, то ПБ таким образом может обвинять самого себя сколько угодно.
Скорей всего у них продакшен точно такой же, как и на железной дороге, стоит тестовая машина, которая является копией реальной в какой-то момент времени, чтобы максимально приблизить серду к реальному миру.

Поверь человеку который там работал. Многое вообще не теститруется, или тестируется чисто формально (те места где ошибок точно нет).
Основные баги заложены уже в тех.задании. Их обнаружение — наказуемо.

Touché! :) Я исходил из здравого смысла :)

Если бы железная дорога работала как ПриватБанк:
1. Вы недоехали до пункта назначения, потому как сидели в вагоне не того цвета.
2. Хоть вы едете один, оплатите оба билета потому как система дала сбой. Деньги вернем через 7 рейсов поезда.
3. На вашем месте по билету уже сидит кто-то? Зайдите в вагон снова — неактуальная информация о пассажирах обновится.
4. Зайдите за билетом в кассу завтра. Ну а мне какое дело до того, что Вам ехать надо сегодня?
5. Касса работает без монет, а сдачу до 50 грн. перечисляет в местный собачий приют.
6. Вы действительно желаете чтобы я распечатала билет? Подумайте об экологии лесов в Финляндии!
7. Вместе с билетом даже на электричку, обязательно продавали бы 10 пакетов чая и 2 пакета постельного белья в рамках комплексного обслуживания.
8. Повсюду бы висели плакаты: «Вам не понравилась поездка нашим поездом? Постучите в рельсу!»

1. Билеты будут проданы до того, как рельсы достроены.
2. Рельсы не будут достроены никогда, ибо формально уже сданы в эксплуатацию.
3. Но в поезд вы не сядете, потому что терминал не работает. Хотите ехать — оплатите наличными.
4. За неудачную попытку купить билет тоже возьмут деньги. (За неудачный вход в Приват-24 есть оплата — вы знали?)

10. К тому моменту когда рельсы всё же достроят отдельным проектом (о чём никому не скажут), и билеты можно будет купить по нормальной цене (о чём не будут знать даже сотрудники), и работать будут без терминала — в поезде будет три пассажира. Из них двое — сотрудники безопасности чтобы никто не мошенничал. И ребёнок пришедший покататься.

Прочитал и припомнил. Подскажите, мне одному в терминалах самообслуживания приватбанка аппарат презренно выплевывает чек на пол после отказа сохранить дерево?

Тот факт что сделали фотографии Алексея в отделении, просили написать пояснительную

По старому КПК фотографировали только при возбуждении уголовного дела. То есть, к «порешать» дорисовывается нолик. Как по новому я не в курсе.

Если писал без адвоката, то 95%, что срок себе уже нарисовал.

Приватбанк настолько «бедный», что нанять специалистов IT-безопасности не по карману. Тут уж невольно вспомнишь про бедного еврея.

Ни одно доброе дело не останется безнаказанным.

Так будут пытаться ИМХО. Приват — это очень интересная контора. В плане происходящего там.

Мохов молодец. Приватбанк, как всегда: большой и нарядный, но крепко сидит в луже.
Ну а вообще, хорошо что в Украине нашлось в чём искать уязвимость, а то всё время то гугол то фэйсбук.

А чего еще было ждать от этого чудо-банка?

Ясно, что в нашей стране такого делать нельзя.

В банковской отрасли так делать нельзя! Вот что ему помешает сейчас опозорить банк уже в англоязычном сообществе, чем существенно подорвать финансовые рейтинги?

Вот что ему помешает сейчас опозорить банк уже в англоязычном сообществе, чем существенно подорвать финансовые рейтинги?
Жажда жизни?

Нет воды — туши бензином? Ещё раз и по-русски: проблемы дипломатии нельзя решить силовыми методами. Суть денег есть доверие, и если его подорвать — деньги испарятся.

Хватит ОДНОЙ угрозы, чтобы следующий «тест» прошёл более удачно. С реальным выпилом бабла. Я даже уверен, что этот случай, даже в текущем состоянии, уже побудил других, менее публичных персон начать копать на предмет подчистить кошельки клиентов Привата. И каждое упоминание только добавит масла в огонь.

Если бы банк действительно привлекал акционерный капитал, то инцидент моментально прорисовался бы на биржевых котировках невосполнимым проседанием. Но вы догадываетсь, что в стуктуре Привата есть не только банк. И там уже далеко не дураки сидят, и ради дешёвых понтов рисковать репутацией не станут.

Ой. Он рейтинги делает на укробыдломассе.

Не скажи. Fitch на массе не сделаешь. Им повезло что успели проскочить в этом году до инцидента.

Эти рейтинги дутые. Показатели подгоняются под нужные уровни. Приходилось сталкиваться.

Но в случае проблем агентство предпочтёт не марать руки.

Fitch и другие рейтинговые агентства выдают кредитный рейтинг. Им не важна политика банка, им важны только цифры рисков. Кстати рейтинг на уровне B — весьма посредственный.

Он не может быть выше рейтинга страны. А ещё эта буковка сильно влияет на то под какой процент может брать банк на внешнем рынке.

И поверь, там кроме прямых финансовых показателей есть факторы, которые лучше не трогать. Трепаться об этом не стану, всё-таки подписывал неразглашение. Скажу только что доверие рынка подрывать не стоит — можно вообще лишиться рейтинга.

Приватбанк запросто может выйти и на А+, достаточно весьма простых (но радикальных) действий со стороны руководства. Буквально добавить пару типовых функций, и строго запретить пару «типичных» действий. Учитывая что Приватбанк есть не только в Украине, это вполне возможно. Но воз и ныне там.

Да, да, я в курсе, прочитал несколько книг про банковскую сферу.

Я вообще за то чтобы финансовую сферу в Украине привести к общеевропейской, очень уж удобно иметь IBAN номера счетов, и кроме этого номера больше не заботиться про другие реквизиты.

Но воз и ныне там.
Значит это им выгодно.
Значит это им выгодно.
До какого-то времени так было везде. И очень долго. Значит ли что было выгодно? Нет. Просто в какой-то момент пришли предприниматели, и рискнули сделать лучше.

А бюрократы всегда будут охранять «как есть», даже в самой дерьмовой ситуации. И считать положение вещей выгодным. Это самообман.

Фінансові рейтинги? У «тупих американців»? Та Коломойському це до одного місця...

Подписаться на комментарии