ПриватБанк и их акция по поиску уязвимостей

    Некоторое время назад, а точнее сразу после нового года, я наткнулся на заманчивое предложение от ПриватБанка за поиск уязвимостей, которое гласило, что за поиск уязвимости есть шанс получить до 10 000 грн (пр. 1250уе)
    Потыкался… ничего не нашел и забил на это дело.

    Но через время, удалось обнаружить уязвимость типа ХСС, благодаря которой, можно было украсть данные кредитки, cvv2, exp. Все данные в общем.
    я дал для теста другу ссылку, попросил вбить левые данные, он вбил и данные у меня появились.
    На лицо уязвимость, благодаря которой можно было делать плохие вещи, имея на руках данные кредитки. То есть спамерам не составит труда собрать базу данных, учитывая то, что домен приватбанка, да еще и под https.

    Вначале, после отсылки ошибки пообещали 5.000 грн (625уе), радости небыло предела. Продолжил поиски на сервисе и вскоре нашел еще одну ХСС. Снова отослал.

    и все… тишина… переписка была, но, как мне объяснили все дело в бюрократии. Из-за нее ошибки исправляли неделями.
    Но какого было мое удивление, когда за 2 отосланные уязвимости (пусть и ХСС, но благодаря которым можно было красть данные) скорректировали сумму до 3.000 грн ( 375 уе )

    Много ли это или мало. В целом — неплохо. За полчаса — час поиска — неплохо.
    Буду ли я дальше искать? Пожалуй нет.
    Share post

    Comments 46

      +37
      Продав такую уязвимость злоумышленникам, вы бы к этой сумме могли еще накинуть как минимум нуль на конце.
      Жлобы, чо.
        +26
        Если бы только жлобы. Более гадского банка, на мой взгляд, в плане отношения к клиентам на Украине нет.

        А чего стоит их функция смены пароля на вход в privat24 для которой необходимо обращаться в службу поддержки?
          +2
          Я еще в ноября обращался в поддержку с вопросом «когда исправят функцию смены пароля?». Сказали что их специалисты знают о проблеме и работают над дней. Уже февраль на дворе — поддержка говорит, что для смены пароля «временно» воспользуйтесь функцией востановления пароля…
          0
          Если не больше. Действительно жлобы…
            +2
            Я думаю автор имеет полное моральное право изложить суть уязвимостей.
            +27
            Ну можете сделать вид что вас это до глубины оскорбило и напишите, что следующую уязвимость вы опубликуете в тематическом блоге, а не в их жлобскую контору, раз такое дело. Может помочь. А можно и вообще без денег остаться, это ж русский бизнес.
              +6
              Украинский.
                +5
                еще хуже
              +1
              Ничего удивительно в случае приват банка. Тут частенько были посты с их бюджетами на проекты :D
                0
                О, покажите, пожалуйста :)
                Интересно посмотреть
                –2
                > есть шанс получить до 10 000 грн

                Всё соблюдено, как и обещали :) Почему вы решили, что вам дадут именно 10 тыс. грн?
                Ах да, обещание 5 тыс. Я уверен, что в данном случае с вами общался один человек, а потом он передал инфу дальше и получил по шапке за такую щедрость от вышестоящего. То есть в целом да, банк поступил плохо — за слова надо отвечать. Но первоначальное обещание, заманившее вас, сдержано.
                Жаль, что вас только деньги привлекают в этом конкурсе. Мне было бы важно получить запись о себе где-нибудь на сайте в списке благодарностей, чтобы потом сверкнуть перед потенциальными работодателями.
                  +8
                  Ага, так ПриватБанк и разместил благодарность, конечно.
                    +1
                    Публичное обещание вознаграждения (см. ст. 1144 ГК Украины), а именно так на языке закона называется предложение ПриватБанка по поиску уязвимостей составлено несколько размыто. Написано вы можете получить до 10000 грн, не указан нижний порог суммы. Т.е. можно предположить, что размер вознаграждения может колебаться от 1 до 10000 грн. Не указаны так же критерии по которым будет оцениваться найденная уязвимость.
                    Согласно ч.3 ст. 1144 ГК Украины «У сповіщенні публічної обіцянки винагороди мають бути визначені завдання, строк та місце його виконання, форма та розмір винагороди» как раз с размером вознаграждения тут проблемы ибо оценивать результаты поиска можно как Бог на душу положит т.е. совершенно произвольно.
                    Отдельно так же хотел упомянуть о договорах Привата по потребительскому кредитованию и их письма- угрозы типа " Если вы нам не отдадите долги по кредитному договору №11111 то мы арестуем все ваше имущество и имущество ваших родственников" — это творчество заслуживает отдельной темы. Таких нещадных и грабительских санкций за нарушение условий договора как у них я мало где встречал. Да у них неплохой набор услуг ( допустим именно в Привате очень легко получать переводы по Westewr Union в плане оформления бумаг ), но все это нивелируется отношением персонала и мутными юридическими уловками которые банк использует в своей деятельности.
                      0
                      Когда я оформлял карту у них(нужны были очень срочно деньги, и их перевели по номеру телефона, но для того чтобы забрать деньги нужно было состоять у них в базе), со мной все время флиртовала девушка оформлявшая ее, так что здесь от случая к случаю знаете ли.
                        0
                        Девушке обещали % от количества «заарканенных клиентов»
                          +4
                          Неа. Ей обещали отдать зарплату если она приведет новых клиентов.
                            +1
                            паспорт
                              0
                              Ну паспорт они еще не отбирают :) Но зарплату даже программистам не отдавали пока не выполнишь план по выданным карточкам ))))
                            +1
                            Ну, видимо раздача своих номеров входит в один из вариантов успешного заарканивания)
                        0
                        Первоначальное обещание составлен весьма хитро с юридической точки зрения и позволяет заплатить нашедшему уязвимость копейки.
                          0
                          я так примерно и написал. И в чём же я неправ?
                        0
                        Интересно, были ли выплачены уже деньги автору? Или ждут, пока «уязвимые» банкоматы сожрут чьи-то 3к? А чего там, бывает, техника, она такая техника =]
                          –5
                          Многие говорят что это один из худших банков украины, но лично мое мнение, что все это только потому, что он самый крупный по количеству клиентов.

                          Все жалобы исключительно на кассиров или операторов. Конечно же там много неадекватов, а откуда им набрать столько компетентных людей?

                          Не думайте, я не работник этого банка что бы его защищать.
                          Просто не пойму почему вы не жалуетесь начальству банка на плохое обслуживание?
                            +1
                            Все жалобы исключительно на кассиров или операторов.

                            Вовсе нет. У них есть приват24 в котором есть косяки от которых просто плакать хочется. Я не могу судить о других вещах, но веб разработка — мой хлеб и мне больно смотреть, что крупная компания создавать инструмент которым будут пользоваться тысячи человек так косячит.
                              +3
                              Совершенно верно. Я например не могу отправить SWIFT платеж используя браузер Safari или Opera.

                              Но все равно я смотрю на вещи иначе. Какой еще из банков предоставляет такое количество услуг не отходя от монитора? Комуналка/любые платежи по украине/ прием или получение денег через системы переводов/ выписки по счетам… Наверное таких просто нету больше?
                                0
                                Наверное таких просто нету больше?
                                Я не знаю.
                                Я использую приват и каждый раз бьюсь лбом об одно и то же место. Создавая платеж между картами мне приходится удалять пробелы из номера. Хотя я знаю, что мой валидный номер можно было бы обработать без проблем. Это дело 10 минут для кодера, который тот код в глаза не видел никогда. Так его 10 минут сэкономят по 3 минуты каждому из тысяч, которые вынуждены все это проделывать. Новые платежи, переводы, выписки и так далее — это долго и сложно. А пробелы это быстро и снизит уровень раздраженности существенно!
                                Я бы с радостью это сделал бесплатно, лишь бы самому лбом не биться, кто бы только предложил.
                                  0
                                  Кодеры у них наверное студенты, как и половина работников.
                                    +1
                                    У меня есть знакомые работавшие программистами в Приват-Банке )) С зарплатами там конешно печалька…

                                    Даже шутка у нас ходит такая, «пей, кури, бросай учебу — иди работать в Приват-Банк». Даже футболки делали :)
                                    +3
                                    >Я бы с радостью это сделал бесплатно, лишь бы самому лбом не биться, кто бы только предложил.
                                    напишите себе за 10 минут плагин в каком-нибудь Greasemonkey и не парьтесь
                                      +1
                                      Да наверное придется. Это уже достаточно привычный путь. Делать себе rss там, где он не предусмотрен, делать себе уведомления о балансе там, где их поленились сделать хозяева… но как-то грустно это все равно. Грустно и не очень правильно
                                    0
                                    ПУМБ? Ушел с привата на пумб, уже почти полгода, пока только приятные впечатления по сравнению с приватом. Но у каждого свои юзкейсы, так что все это субъективно.
                                    0
                                    Б2 по Вашему лучше?
                                    0
                                    Я вот уже 7 раз пытался открыть карту для оплаты через интернет ( ну, это А-Банк, но там везде написано Приват-Банк, и техподдержка одна, и вообще хрен отличишь, только что Приват24 у них отдельный и не полный )

                                    Заходил в отделение. Звонил персональному консультанту ( голд карта ), писал в чат, писал в скайпе. Каждый раз мне делали заявку на открытие. И ничего не работает :(((

                                    Где здесь жалобы на кассиров?
                                      0
                                      В приват24 нажимаете на карту и там вроде как есть пунктик открыть для интернета и интернет лимит.

                                      «Звонил персональному консультанту ( голд карта )» а вот это уже не ваша проблема а консультанта! Жалуйтесь на него! Вообще качество голда уже давно в прошлом…
                                        0
                                        Еще раз — у А-Банка приват24 урезанный и там нет такой кнопки.

                                        Это вы еще не знаете сколько я добивался того чтобы мне ее выдали=)))
                                        Но это единственный банк, который дал нужную мне кредитную линию с подходящими условиями.

                                        +1
                                        Что вас держитв этом банке?
                                        +15
                                        Вспомнилось… Висел в отделении в Могилянской академии, что на Контрактовой площади в Киеве плакат, мол если у вас есть жалобы на работу отделения — отправьте пустую смс на такой-то номер, если довольны — на такой, в итоге мы составим рейтинг. Отправляю на номер с жалобами — номер не действителен, смс не доставлена… отправил на номер для позитивных отзывов — «спасибо за ваш голос»… ну не ппц?
                                        +3
                                        «А где вы найдёте банк с таким количеством отделений и банкоматов?» © сотрудница ПриватБанка на моё озмущение их качеством обслуживания и идиотскими требованиями фотографироваться на веб-камеру при любом пуке
                                          0
                                          Ну, насчет количества банкоматов — у моего второго банка сеть партнеров(Атмосфера) 3500+ банкоматов. Да и банкоматы в принципе не так часто и нужны. Можно ведь просто оплатить карточкой.
                                            0
                                            по сути это не критично для нас, критично для бабушек и дедушек, которые ходят в отделения. Я в отделениях банков бываю может от силы раз в пару месяцев, поэтому совсем не критично сколько тех отделений, раз в пару месяцев можно и проехаться, а вот сервис, которым приходится пользоваться регулярно и который сделан через задний проход — на это глаза не закрыть.
                                              0
                                              Я вообще уже давно стараюсь не контактировать с работниками ПБ, берегу свои нервы) последний раз в отделение заходил к ним, когда делал моментальную карту, потратил 30 минут времени и 3 года можно к ним не ходить опять) раньше ПБ действительно выделялся большим количеством банкоматов, но сейчас условия от БМбанка очень хорошие, буду оформлять у них карту, с плюсов — моментальный вывод вебмани без процентов через укргарант в любой день недели и в любое время суток + они входят в сеть Атмосфера, которая насчитывает довольно приличное количество банкоматов, в который процент при обналичке 0,8% всего, а теперь они даже карты выпускают на срок в 3 года. Так что для обналички/покупок уже есть хорошая альтернатива.
                                              –2
                                              Вам скоро позвонят! Ждите!
                                                +6
                                                Хм, 3000 гривен этож целых две зарплаты начальника ГУВД Киева по борьбе с киберпреступностью!
                                                  +1
                                                  Начальник скоро позвонит, ждите? :)
                                                  0
                                                  Вот интересно увидеть «прайс» уязвимостей…

                                                  Возможная номинация 10.000ГРН
                                                  Privatbank
                                                    0
                                                    А сумму выплатили-то? :)
                                                    У меня осенью был замечательный опыт. Умудрился выиграть по их стандартной акции по чеку 1000 грн. Мелкое в 10 и 100 грн выигрывал и раньше- оно у них все автоматически работает, ввел номер чека на сайте через пару недель приходит уведомление что выигрыш зачислен на карту.
                                                    В случае же с 1000 грн был сюжет из анекдота про то как мужик в советском универмаге туалетную бумагу покупал :)
                                                    Ради интереса уже наблюдал, в итоге было штук 8 официально заполненных в чате обращений о проблеме.

                                                    Выплатили таки, но через 2,5 месяца после обещанного срока.
                                                    Напомню — это автоматическая (ну или полуавтоматическая) акция, не сравнимая с описанной автором.

                                                    Only users with full accounts can post comments. Log in, please.