Уразливості в Приват24 (версія для Facebook)

22:44 16.10.2010

Як повідомив Андрій Терещенко, в Приват24 (версія для Facebook) є уразливості, що дозволяють обійти статичний пароль для акаунтів ПриватБанку. Уразливість стосується саме версії Приват24 для Facebook і звичайна система Приват24 невразлива.

Тому всі користувачі Facebook, що користуються клієнтом Приват24 для цієї соціальної мережі, повинні бути дуже обережні. Враховуючи наявність уразливостей, що дозволяють отримати доступ до вашого рахунку після логіна через клієнт Приват24 для Facebook (у ваш чи інший Facebook-акаунт), а також враховуючи, що ПриватБанк відмовився виправляти дані уразливості.

Цікаво, що банк навіть відповів йому на дане повідомлення про уразливості (тому що на всі ті численні повідомлення про уразливості в 2008-2010 роках ПриватБанк ні разу мені не відповів). Заявивши, що виправляти уразливості не будуть, тому що “Insecurity accepted as trade-off”. В чому немає нічого нового і це є типовим явищем для ПриватБанка. Бо даний банк не виправив майже жодної уразливості про які я їм повідомив, як я вже зазначав в новинах.

  • Privat24 (Facebook version) bypass of static password for accounts of PrivatBank (Ukraine, Russia and CIS) (деталі)

8 відповідей на “Уразливості в Приват24 (версія для Facebook)”

  1. Сократ каже:

    Сильно сомневаюсь что приват отвечал по английски!
    100% утка, либо высосано из пальца.

  2. MustLive каже:

    Сократ

    У Привата есть люди отвечающие на английском, в частности в чате и на форуме LiqPAY. Но в данном же случае ему отвечали (по телефону) представители ПБ на русском. Сам Андрей уведомил их явно также по русски. Так что пусть тебя не вводит в заблуждение текст описания уязвимостей на английском.

    Он написал письмо на английском лишь для секюрити рассылки, которой является Full-disclosure (а ранее в этом году он уже писал письмо в Bugtraq по поводу LiqPAY, о чём я также вскоре напишу). Это западные секюрити рассылки и они ведутся на английском. Поэтому и текст письма написан по английски.

    Данные уязвимости реальны (как и ранее описанная Андреем уязвимость в LiqPAY). Сам я не пользуюсь Фейсбуком и П24 для Фейсбука, но немного использую П24, поэтому из своего опыта точно знаю, что он не уязвим, так что проблема касается только версии для Фейсбука. А из общения с ним касательно данных уязвимостей, я удостоверился в их реалистичности (и дыра связанная с SMS идентична дыре в LiqPAY).

  3. TAG каже:

    Небольшое уточнение - под угрозой ВСЕ пользователи Приват24.

    Потому как фальший аккаунт в Фейсбук создать и связать с номером телефона (а как результат и всем картами-счетами в ПриватБанка этого человека) можно используя код из СМСки с телефона любого пользователя обычного Приват24.

    Суть в чем - в версии для ФейсБука не надо статический пароль Приват24 - только СМС код.
    В результате доступ к любым выписками и небольшим платежам за мобильный можно получить.

  4. Надежда Б. каже:

    Создать фальшивый счет, украсть телефон, и притом что приложение тянет всю инфу об экаунте… Слишком притянуто за уши, проще карту у друга взять и бегом в банкомат.

  5. TAG каже:

    Надежда - по шагам:
    Вы желаете знать куда ходит муж (налево ли) или сколько получает сотрудник.

    Регаетесь под фальшивым именем в Фейсбуке (2 минуты затраты времени).
    Берете телефон у мужа (или сотрудника) и держа мобилу в руках - вводите ее номер в Приват24 (версия под Фейсбук).
    Получаете код в СМСке (30 секунд затраты)
    Вводите его в том приложении.
    Возвращаете телефон.

    Все! Затраты на все - аж 5 минут от силы.
    Результат? Вы видите все последние выписки и все балансы по картам человека в любое время.

    Причем ни ПИН кода (чтобы сходить в банкомат) ни пароля от обычного Приват24 вам не потребовалось!

    Вот!

    Если что не понятно - уточняйте

  6. MustLive каже:

    Небольшое уточнение - под угрозой ВСЕ пользователи Приват24.

    Андрей, это понятно. Это видно из твоего описания уязвимости (на Full-disclosure). Но т.к. уязвимость имеется в Facebook-версии П24 и наиболее подвержены именно пользователи этой версии, то в своей новости я сделал больший акцент именно на Facebook-версию П24.

    Суть в чем - в версии для ФейсБука не надо статический пароль Приват24 - только СМС код.

    Т.е. тот же подход, что и в LiqPAY. И то, что таким образом обходится статический пароль - это понятно и ты справедливо на это обратил внимание. При этом динамические пароли на LiqPAY позиционируются Приватом как “убер-секюрный” метод авторизации, то они применили этот метод в Приват24 для Facebook.

    И поэтому совершенно очевидно, что они не заметили никаких проблем в этом и проигнорировали твои уведомления. Т.к. для них это норма вещей. И пользователи LiqPAY также спокойно с этим методом работают и живут себе, горя не зная :-) . Т.е. отношение Привата к авторизации по OTP через sms совершенно понятна. И здесь имеет место использования фишинга - что в случае Приват24 для Facebook, что в случае LiqPAY - т.к. будет необходима социальная инженерия (в той или иной форме). Поэтому разные люди могу по разному расценивать данную уязвимость - кто-то будет считать это дырой, а кто-то нет.

    Получить физический доступ к мобиле или обманным путём заставить жертву назвать sms-код от Приват24/LiqPAY - это всё относится к социальной инженерии (и не все это будут считать уязвимостю). А вот в случае Приват24 для Facebook (П24-F) я вижу возможность проведения атак вообще без использования социальной инженерии.

    Поэтому и обратил внимание на больший риск именно пользователей П24-F. Т.к. после подключения пользователем П24-F к своему аккаунту своего счёта в П24, нападающему нужно будет лишь получить доступ к его аккаунту. Для чего можно будет использовать многочисленные дыры на Facebook, а о таких я писал, в том числе сам находил такие, и дырявость данной соцсети хорошо известна.

  7. MustLive каже:

    Создать фальшивый счет, украсть телефон

    Надежда, там возможны и другие варианты атак, о чём я написал выше.

    А касательно атак с использованием социальной инженерии, то Андрей выше довольно детально всё описал. И в определённых условиях, как видно из его описания, атака довольно легко осуществима ;-) .

  8. MustLive каже:

    Андрей, в своих описаниях уязвимостей на Full-disclosure и здесь в комментариях, ты достаточно детально описал проблемы с безопасностью в Приват24. Так что эти публикации, а также твои публикации на форуме pravda.com.ua, должны привлечь внимание ПриватБанка к дырам на своих сайтах и в своих сервисах :-) . Дабы они исправили эти дыры, как это они сделали в случае уязвимости в LiqPAY (раз в LP они исправили, то есть вероятность, что и в П24 займутся исправлением).

    Кстати, касательно этих дыр в П24 есть один важный момент, на который я сразу же обратил внимание. В системе П24 смс-ки приходят после каждых финансовых транзакций (как и в LiqPAY при отправке, а также при приёме если включена опция уведомлять получателя). Ты писал, что после привязки счёта П24 к аккаунту в FB более не приходят смс-ки. А уведомления при транзакциях (как это есть в обычном П24) также не приходят? Если так, то это позволит полностью скрытно манипулировать финансами на счётах пользователя.

Leave a Reply

You must be logged in to post a comment.