Студент КПІ знайшов критичну вразливість у мобільному додатку Приватбанку

Студент КПІ Олексій Мохов, який раніше працював у Samsung і Viewdle, знайшов уразливість в Android-додатку найбільшого банку України Приват24, ​​пише сайт КПІшнік.

"Приватбанк відповів несподівано, звинувативши програміста в спробі вкрасти кошти з рахунків клієнтів банку", - зазначено на сайті.

Сам програміст розповів, що в ході дослідження протоколу зв'язку з банком в мобільному додатку банку він помітив кілька помилок у системі безпеки, після чого "почав глибше копатися в них".

Незабаром він з'ясував, що банк нібито дозволяв переводити кошти з картки на картку "хоч в інший банк, хоч в іншу країну (через Visa/Mastercard), і це "крім доступу до конфіденційних даних людини (баланс, рахунки, кредити, депозити в банку)".

Коментуючи заяву банку про спробу злому системи, Мохов, який сам звернувся в службу безпеки фінустанови Ігоря Коломойського, сказав: "Приват ж в шоці: їм теж движуху треба підняти, що вони щось роблять".

"Я спробував кілька разів зробити переказ коштів за допомогою одержання 4 останніх цифр карти. У мене це вийшло. Щоб нікого не підставляти, зробив переказ на свою картку. Після успішного переказу написав у твітер банку. Потім співробітнику банку. Всі ці дії показав і розповів у поясненні. У СБ Приватбанку запропонував зробити переказ на карту Дубілета, ми посміялися і все", - пояснює він.

Видання припускає, що те, що назвали "шахрайськими транзакціями", можливо, було тестовими спробами студента перевести гроші з однієї картки на іншу. У відповідь на це програміст, дії якого вже активно обговорюють на популярних IT-форумах Рунету, зазначив, що для того, щоб довести, що уразливість є, він хотів переконатися в працездатності методів.

"Для цього випадковим чином з бази даних Приватбанку був обраний чоловік (прізвище у нього якось на У починається, не пам'ятаю вже). Ну я довів і пішов все показувати. Знову-таки все описав у пояснювальній записці", - повідомив студент.

За матеріалами КПІшник