Кстати, касательно этих дыр в П24 есть один важный момент, на который я сразу же обратил внимание. В системе П24 смс-ки приходят после каждых финансовых транзакций (как и в LiqPAY при отправке, а также при приёме если включена опция уведомлять получателя). Ты писал, что после привязки счёта П24 к аккаунту в FB более не приходят смс-ки. А уведомления при транзакциях (как это есть в обычном П24) также не приходят? Если так, то это позволит полностью скрытно манипулировать финансами на счётах пользователя.

Создать фальшивый счет, украсть телефон

Надежда, там возможны и другие варианты атак, о чём я написал выше.

А касательно атак с использованием социальной инженерии, то Андрей выше довольно детально всё описал. И в определённых условиях, как видно из его описания, атака довольно легко осуществима .

Небольшое уточнение - под угрозой ВСЕ пользователи Приват24.

Андрей, это понятно. Это видно из твоего описания уязвимости (на Full-disclosure). Но т.к. уязвимость имеется в Facebook-версии П24 и наиболее подвержены именно пользователи этой версии, то в своей новости я сделал больший акцент именно на Facebook-версию П24.

Суть в чем - в версии для ФейсБука не надо статический пароль Приват24 - только СМС код.

Т.е. тот же подход, что и в LiqPAY. И то, что таким образом обходится статический пароль - это понятно и ты справедливо на это обратил внимание. При этом динамические пароли на LiqPAY позиционируются Приватом как “убер-секюрный” метод авторизации, то они применили этот метод в Приват24 для Facebook.

И поэтому совершенно очевидно, что они не заметили никаких проблем в этом и проигнорировали твои уведомления. Т.к. для них это норма вещей. И пользователи LiqPAY также спокойно с этим методом работают и живут себе, горя не зная . Т.е. отношение Привата к авторизации по OTP через sms совершенно понятна. И здесь имеет место использования фишинга - что в случае Приват24 для Facebook, что в случае LiqPAY - т.к. будет необходима социальная инженерия (в той или иной форме). Поэтому разные люди могу по разному расценивать данную уязвимость - кто-то будет считать это дырой, а кто-то нет.

Получить физический доступ к мобиле или обманным путём заставить жертву назвать sms-код от Приват24/LiqPAY - это всё относится к социальной инженерии (и не все это будут считать уязвимостю). А вот в случае Приват24 для Facebook (П24-F) я вижу возможность проведения атак вообще без использования социальной инженерии.

Поэтому и обратил внимание на больший риск именно пользователей П24-F. Т.к. после подключения пользователем П24-F к своему аккаунту своего счёта в П24, нападающему нужно будет лишь получить доступ к его аккаунту. Для чего можно будет использовать многочисленные дыры на Facebook, а о таких я писал, в том числе сам находил такие, и дырявость данной соцсети хорошо известна.

Регаетесь под фальшивым именем в Фейсбуке (2 минуты затраты времени).
Берете телефон у мужа (или сотрудника) и держа мобилу в руках - вводите ее номер в Приват24 (версия под Фейсбук).
Получаете код в СМСке (30 секунд затраты)
Вводите его в том приложении.
Возвращаете телефон.

Все! Затраты на все - аж 5 минут от силы.
Результат? Вы видите все последние выписки и все балансы по картам человека в любое время.

Причем ни ПИН кода (чтобы сходить в банкомат) ни пароля от обычного Приват24 вам не потребовалось!

Вот!

Если что не понятно - уточняйте

Потому как фальший аккаунт в Фейсбук создать и связать с номером телефона (а как результат и всем картами-счетами в ПриватБанка этого человека) можно используя код из СМСки с телефона любого пользователя обычного Приват24.

Суть в чем - в версии для ФейсБука не надо статический пароль Приват24 - только СМС код.
В результате доступ к любым выписками и небольшим платежам за мобильный можно получить.

У Привата есть люди отвечающие на английском, в частности в чате и на форуме LiqPAY. Но в данном же случае ему отвечали (по телефону) представители ПБ на русском. Сам Андрей уведомил их явно также по русски. Так что пусть тебя не вводит в заблуждение текст описания уязвимостей на английском.

Он написал письмо на английском лишь для секюрити рассылки, которой является Full-disclosure (а ранее в этом году он уже писал письмо в Bugtraq по поводу LiqPAY, о чём я также вскоре напишу). Это западные секюрити рассылки и они ведутся на английском. Поэтому и текст письма написан по английски.

Данные уязвимости реальны (как и ранее описанная Андреем уязвимость в LiqPAY). Сам я не пользуюсь Фейсбуком и П24 для Фейсбука, но немного использую П24, поэтому из своего опыта точно знаю, что он не уязвим, так что проблема касается только версии для Фейсбука. А из общения с ним касательно данных уязвимостей, я удостоверился в их реалистичности (и дыра связанная с SMS идентична дыре в LiqPAY).