Используя уязвимость в «Приват24», мошенники могут получить доступ к данным 600 тыс. клиентов банка.

ПриватБанк начал расследование попытки взлома своей системы безопасности программистом Алексеем Моховым, который ранее работал в компании Samsung и проекте Viewdle. В ближайшие две недели руководство банка решит, возбуждать ли дело по этому факту, рассказал «Капиталу» источник в банке.

По его словам, Мохов предпринял попытку украсть средства со счетов клиентов банка. Но после того как его «вычислили», сам отправил все данные в банк и заявил, что нашел уязвимость в системе.

Пресс-секретарь ПриватБанка Олег Серга подтвердил «Капиталу», что банк зафиксировал попытку использования мошеннических приложений и заблокировал мошеннические транзакции. Однако вопрос дальнейших действий относительно Мохова, по его словам, банк не комментирует.

Уязвимый Android

Несколько дней назад Мохов сообщил изданию AIN.ua о серьезной уязвимости, найденной в Android-приложении онлайн-банкинга «Приват24». Уязвимость позволяет сторонней программе получить доступ к личным данным пользователя, авторизованного в системе «Приват24», и соответственно проводить финансовые операции по его карте.

«Во вторник утром я написал об этом в Twitter ПриватБанка, но никакого ответа не получил. Затем обратился в их службу безопасности, и только потом на меня вышли», — рассказал Мохов «Капиталу».

Мохов говорит, что вчера он лично встречался с представителями службы безопасности банка и продемонстрировал им, каким образом мошенники могут использовать эту уязвимость. «Они сделали фотографии, я написал им записку как все было, и они обещали завтра представить эту информацию председателю правления», — рассказал он.

Программист предполагает, что попытка обвинить его во взломе связана с медленной реакцией сотрудников банка. «Они сами еще пытаются разобраться во всем и не знают, что делать», — предполагает он. Если банк предъявит официальные обвинения, Мохов обещает на них ответить.

«Я могу подать встречный иск. Причем мои аргументы будут более весомыми, чем их», — уверен он.

Приложения без проблем

Олег Серга утверждает, что ПриватБанк ни разу не получал обращений от клиентов о мошенничестве через мобильные приложения. Но уязвимости другого характера были.

«Например, один из клиентов заметил, что при оплате услуг в терминалах на чеке выводится остаток баланса карты, и это могло быть использовано мошенниками в случае хищения карт», — говорит он. Уязвимость устранили, клиент получил премию 10 000 грн.

Если уязвимость в приложении «Приват24» подтвердится, это будет означать, что данные 600 тыс. клиентов постоянно были под угрозой — именно столько загрузок приложения было зафиксировано в июне. Учитывая количество Android-смартфонов в сетях украинских операторов (почти 2,4 млн по состоянию на июнь), это четверть пользователей этой платформы.

В целом у ПриватБанка сейчас насчитывается более 20 приложений, количество пользователей которых превышает 1 млн.

Просмотр ссылок доступен только зарегистрированным пользователям

Сегодня, кстати, приложение обновилось...

Лично у меня нет доверия безопасности в открытых системах, так же как и я не вижу большой потребности платить со смартфона, который и вытащить могут и отнять.