Ти знаєш, за весь час, як я повідомляв їм про тисячі дірок на їхніх сайтах, лише одного разу трапилася ситуація, коли вони заявили, що вже знають про вказану дірку. Але все ж таки це мало місце і саме стосовно вищезгаданої Insufficient Process Validation, що я виявив 06.06.2013.

Одразу ж відповіли, що в курсі про дірку і працюють над її виправленням. Але так досі й не виправили. У тебе хоч оперативно дірку виправили . В мене є випадок, коли одну дірку вже 9,5 місяців не можуть виправити, хоча я вже більше десяти разів їм нагадував (і таких “довгобудів” в них чимало). Тому й можливі подібні ситуації, як у тебе.

Если ты не разобрался с сутью моей уязвимости, то вначале разберись и пойми её риск, а уж потом делай заключения об её актуальности. К примеру с этой дырой мы с ПриватБанком обсудили всё ещё 06.06.2013 - сразу как я им сообщил о ней, они сразу же подтвердили её и признали, что они считают это уязвимостью, достаточного риска и якобы работают над оперативным её исправлением. Хотя так за практически 4 месяца и не исправили.

Так что с ПБ все аспекты этой уязвимости обговорены и более обсуждать здесь нечего - у них вопросов никаких нет по этому поводу. Главное, чтобы на практике исправляли, а не втихаря отключали функционал в угоду мнимому удобству пользователей.

Суть ОТР СМСки в дополнительном факторе для двухфакторной авторизации - т.е. кроме знания пароля, нужно обладать карточкой мобильного оператора.
… то симка почти наверняка будет.

В этом ты сильно ошибся, как и Приватовцы. Это было априори ложное предположение, что симка наверняка будет. Что у тебя, что у них одна и та же ошибка. И в своём описании и в видео я наглядно показал, что это не так. А именно: помимо смартфонов (Android, iOS) есть ещё другие устройства, такие как планшеты на этих ОС и iPod Touch. И в моём видео я снял своим iPod Touch свой Android планшет - на обоих этих устройствах я подтвердил данную уязвимость. И оба этих устройства не имеют симки и в них программой произведена привязка, после чего при доступе к этим устройствам можно будет получить доступ в аккаунт П24 без наличия телефона. А такие устройства как планшеты с собой люди обычно не носят, по сравнению с телефонами/смартфонами, так что к ним легко получить доступ. Не говоря уже о другом описанном мною векторе атаки (с использованием других найденных мною дыр) - захват чужих аккаунтов с мобильных клиентов П24 без доступа к телефонам и любым другим девайсам пользователей.

С прогами на Android/iPhone там другие более важные глюки есть по безопасности, но это уже другая история…

Без сомнения есть много других уязвимостей в мобильных приложениях ПБ. О чём я им многократно сообщал в этому году и над многими они месяцами думают (и смотрят сделанные мною видео), в том числе я уже анонсировал другие дыры в Приват24, которые нашёл ещё в марте и которые ПБ решил проигнорировать, хотя ещё 06.06.2013 я навёл им дополнительные аргументы, когда сообщал о новой дыре.

Суть ОТР СМСки в дополнительном факторе для двухфакторной авторизации - т.е. кроме знания пароля, нужно обладать карточкой мобильного оператора.

В случае ж с Андроидами и иПхонами - нет смысла проверять наличение фактора в виде симки, ведь если есть сам телефон на котором работает прога - то симка почти наверняка будет.

Фактор симкарты просто заменён на какие-то cookies или скрытые/секретные данные размещенные на телефоне.
Это в итоге дало удобство клиентам, ничегор сильно не теряя.

С прогами на Android/iPhone там другие более важные глюки есть по безопасности, но это уже другая история…

С их программой по выплатам за уязвимости я работаю с октября. И если в прошлом году они два месяца тратили на исправления, то в этом году в зависимости от уязвимостей это варьируется от одного до нескольких месяцев (в среднем два). Причём за месячный термин они реже исправляют, а чаще отвечают отказом - приходится потом им доказывать, что дыры реальны, и если на других сайтах это мне удавалось, то на мобильном Приват24 они упорно забивают на дыры и всячески их не признают реальными.

Но я ещё надеюсь им это доказать, иначе я опубликую детали, раз им не интересно, то пусть клиенты ПБ почитают и сами сделают выводы о безопасности Приват24 (буду на них влиять разными путями). Что интересно, с начала года они уже более сотни дыр исправили уведомленных мною, а одну дыру от 05.01.2013 так до сих пор и не исправили (первую, что я нашёл и уведомил их в этом году). Так что в разумные сроки они не всегда вкладываются - за более 5 месяцев можно было уже её исправить (тем более, что на этом сайте уже исправили несколько других дыр).

А тим часом цей баг можуть використати всі хакери кому ні ліньки. Про фішинг атаки на П24, які відбуваються кожного року, я пишу регулярно. І отримавши логіни-паролі через фішинг атаки або через трояни та інші віруси, можна буде отримати кошти користувачів ПБ. Дуже несерйозно банк затягує виправлення цієї уразливості.