• Уязвимости ритейлеров — три случая, когда OTP можно было получить в запросе

      При входе в личные кабинеты различных сервисов, в целях безопасности, часто используется 2FA — помимо логина и пароля, нужно ввести одноразовый код.

      Но, как оказалось, не всё так безопасно даже с двухфакторной аутентификацией — за последний год я нашёл три (!) сервиса, когда одноразовый код для входа, который отправляется клиенту в SMS, можно было посмотреть в самом запросе.

      Далее кратко о том, чем это грозило, на конкретных примерах.

      1. Популярная сеть АЗС, более 500 000 зарегистрированных клиентов.

      Запрос при входе в веб-версию личного кабинета:
      POST https://someazs.ua/ua/profile/auth/
      Accept: application/json, text/javascript, */*; q=0.01
      Accept-Encoding: gzip, deflate, br
      Accept-Language: ru,en-US;q=0.9,en;q=0.8,uk;q=0.7
      Connection: keep-alive
      Content-Length: 408
      Content-Type: application/x-www-form-urlencoded; charset=UTF-8
      Cookie: PHPSESSID=6n3l2o90hfb020u9ag020u8ha1; usersomeazs_popupcoupons=1;...
      Host: someazs.ua
      Origin: https://someazs.ua
      Referer: https://someazs.ua/ua/login/
      User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36
      X-Compress: null
      X-Requested-With: XMLHttpRequest
      
      data[phone_mask]: 951234567
      data[phone]: 0951234567




      Ответ: {"Status":0,"Code":"7038","status":true,"step2":true}

      Код из SMS — 7038 — виден просто в ответе сервера.
      Читать дальше →
    • Как ездить на такси за чужой счёт — уязвимости на примере одного сервиса

        После нахождения уязвимостей в мобайл-банкинге украинского банка (пост) я захотел немного сменить направление и перейти от финансовых сервисов к другим.

        На глаза попалась рекламная статья про обновлённое мобильное приложение такси, его я и выбрал своим подопытным.

        Здесь инструменты те же: ПК, Fiddler, Android-смартфон – устанавливаем приложение и отслеживаем его запросы.

        Я специально не рассматривал запросы и ответы при регистрации или логине (например, не стал проверять возможность перебора пароля), а перешёл к функциям, доступным после регистрации.

        Так как у меня не было истории поездок с помощью данного сервиса, а проводить реальную поездку для тестирования мне не хотелось, мне нужны были данные кого-либо ещё из клиентов. Я решил спросить знакомых на наличие аккаунта в сервисе. Среди знакомых нашлись клиенты этого такси, но вызывали они его по-старинке – с помощью звонка.

        Тогда я начал искать номера телефонов среди общедоступной в интернете информации – например, на официальном сайте и среди отзывов в соцсетях (зачастую недовольные клиенты, описывая жалобы, вместо отправки компании в личку своих контактов оставляют их в комментариях на всеобщее обозрение). В итоге я нашёл пару телефонов на одном из сайтов по поиску работы. Один из них я подставил в последующие запросы и получил информацию, которая не должна была быть доступна кому-либо извне.


        Читать дальше →
      • Получение информации и обход двухфакторной аутентификации по картам банка из ТОП-10 (Украина)

          В прошлом году украинский банк из ТОП-10 пригласил меня протестировать свои системы интернет- и мобильного банкинга на предмет уязвимостей.

          Первым делом я решил начать с отслеживания запросов мобильного приложения. С помощью Fiddler (Burp или Charles) я начал рассматривать каждый запрос приложения, выполняя по очереди все доступные в своём аккаунте операции. Мобильный банкинг не был защищён SSL-pinning, поэтому это не составило особого труда.

          В GET и POST-запросах я пытался подменять параметры, чтобы получить искомое, но достаточно долго мне это не удавалось – я получал ошибки вида «Доступ запрещён». Однако я таки нашёл нужные мне запросы.

          Например:
          Читать дальше →
        • Уязвимости Киевстара: 1) разбор предыдущего поста про пароли + 2) инфо о покупках, проходящих через сервисы Киевстара

            Привет. Я тот, кто полгода назад получил логины и пароли Киевстара от таких важных сервисов, как: JIRA, Amazon Web Services, Apple Developer, Google Developer, Bitbucket и многих других, зарепортил их по Bug Bounty и получил 50 долларов различные комментарии к репостам моей публикации.

            Например:


            Спасибо вам за поддержку и комментарии! Итоги голосования:


            Детали о старой и новой ситуации тут
          • Bug Bounty Киевстара: награда за админский доступ к сервисам Jira, AWS, Apple, Google Developer, Bitbucket — 50 долларов

              История о совпадении, везении и вознаграждении.

              Два года назад пользователь dinikin написал пост, как он нашёл уязвимость в личном кабинете крупнейшего мобильного оператора Украины — Киевстар. Уязвимость позволяла добавлять к себе в аккаунт без верификации любой номер телефона Киевстар и полностью управлять им:

              • просматривать баланс и детализацию звонков;
              • просматривать PUK-код и серийный номер SIM-карты, что позволяет самостоятельно заменить SIM-карту;
              • добавлять новые услуги и менять тарифный план;
              • и самое главное — переводить деньги с телефона на телефон.

              Уязвимость была закрыта, а автору в благодарность выплатили огромную премию подключили 4000 мегабайт интернета на 3 месяца.

              Добавляем произвольный телефон в личном кабинете оператора мобильной связи Киевстар (Украина)

              Позже хабрапользователь rewiaca в своём посте "Почему в Украине нет белых хакеров или история взлома Киевстар" описал ситуацию со столь щедрой наградой более эмоционально.

              В комментариях тогда отметился Виталий Султан, Soultan, Chief Digital Officer Киевстар, пообещав вскоре запустить в компании Bug Bounty.

              И вот, спустя почти два года, Киевстар анонсирует запуск собственной программы Bug Bounty. Одной из первых фраз в анонсе была следующая:
              В «Киевстаре» отметили, что приняли решение запустить программу после того, как нашли уязвимость во время бета-тестирования обновленной системы «Мой Киевстар».
              Как видим, компания лукавит, ведь именно пользователь Habrahabr.ru dinikin нашёл уязвимость в системе «Мой Киевстар».
              Впрочем, ближе к делу.
            • Уязвимости в Ощадбанке: получение ФИО клиента по номеру телефона, перебор номеров карт, проблемы в платёжных терминалах

                У меня накопилось несколько найденных проблем в различных сервисах Ощадбанка, одного из крупнейших украинских банков.

                Вся информация предоставлена исключительно в ознакомительных целях. Я не несу ответственности за любой возможный вред, причиненный материалами этой статьи

                уязвимости Ощадбанка

                1. Получение ФИО* клиента по номеру телефона

                Ощадбанк добавил новую функцию в свой интернет-банкинг «Ощад 24/7» — перевод с карты на карту по номеру телефона: чтобы перевести средства, необязательно знать номер карты получателя.

                Ранее я рассмотрел проблемы в реализации данной функции в другом украинском банке — Уязвимость в Альфа-Банк Украина: получение ФИО клиента по номеру телефона.

                Здесь уязвимость меньше — на самом деле возможно получение не всего ФИО, а только имени и первой буквы фамилии, но это не отменяет того факта, что теперь можно узнать настоящее имя человека, скрывающегося за анонимным номером телефона (в Украине SIM-карты выдаются без привязки к паспорту).

                Т.е. если вас интересует, к примеру, имя звонившего вам человека, а поиск в социальных сетях не даёт результатов, или вы сомневаетесь в их валидности (часто в соцсетях указывают выдуманные ФИО), то с помощью Ощадбанка вы можете попробовать узнать его настоящее имя.

                Что за поиск в социальных сетях? Его уже описывали много раз, но, думаю, не лишним будет напомнить «фичу»: если нужно узнать ФИО человека, можно попытаться «восстановить» учётные данные в социальных сетях.

                Например, можно нажать «Забыли аккаунт?» на Facebook, ввести желаемый номер телефона и, если человек регистрировался с данным телефоном, то доступны будут следующие данные:
                Читать дальше →
              • Как узнать баланс чужой банковской карты, зная её номер?

                  Мошенники, когда звонят доверчивым владельцам карт и представляются службой безопасности банка, заинтересованным покупателем, сотрудником госорганов или ещё кем-то важным, наверняка выбирают себе жертв, не тратя времени на тех клиентов, у кого мало средств на счету.

                  Оказывается, узнать баланс чужой карты очень просто.

                  Вся информация предоставлена исключительно в ознакомительных целях. Я не несу ответственности за любой возможный вред, причиненный материалами этой статьи

                  image
                  Читать дальше →
                • Уязвимость в Альфа-Банк Украина: получение ФИО клиента по номеру телефона

                    Альфа-Банк Украина входит в ТОП-5 по количеству активных карт среди всех украинских банков и имеет довольно неплохой интернет-банкинг My Alfa-Bank.

                    У них существует функция перевода средств другому клиенту по номеру телефона: чтобы перевести деньги, достаточно указать номер телефона получателя, нет необходимости указывать номер карты.

                    Длительное время функция p2p-перевода по номеру телефона действовала при соблюдении определенных условий: если у получателя подтверждён телефон и оформлена зарплатная (именно зарплатная) карта в Альфа-Банке Украина.

                    Не так давно, в конце марта этого года, банк реализовал p2p переводы по номеру телефона в интернет-банкинге My Alfa-Bank уже для всех клиентов банка, а не только для «зарплатников».

                    Я решил протестировать функцию на предмет получения данных о клиенте по его номеру телефона.

                    Ввожу сумму и номер телефона родственника, у которого открыт счёт в Альфа-Банке, нажимаю «Далее».

                    Читать дальше →
                  • Как другая крупная курьерская компания персональные данные своих клиентов раздавала

                      Давно хотел написать статью, как одна почтовая служба, которой я воспользовался, показывала слишком много данных о посылке и её получателе, но не находил времени и подходящего момента.

                      А тут на днях на Хабре вышла статья "Как крупная курьерская компания персональные данные своих клиентов раздавала", после выхода которой я понял, что не одинок многие службы страдают этим.

                      Что ж, опишу свою ситуацию и результаты (пост будет короче, чем указанный выше).

                      image
                      (картинка для привлечения внимания. Картинка не относится к описываемому мной сервису)
                      Читать дальше →
                    • Придумана схема обналичивания денег с кредитных карт через ломбарды

                        «Сбербанк» взимает за снятие наличных по кредитке 3–4%, «Альфа-Банк» – 3,9–5,9%, «ВТБ 24» – до 5,5%. По операциям для снятия наличных в банкоматах устанавливаются лимиты меньше, чем для безналичных расчётов картой.

                        Поэтому некоторые клиенты сдают в ломбард дорогой товар, а уже через несколько минут возвращаются, чтобы выкупить залог, рассчитавшись кредитной картой.

                        Читать дальше →
                      • Американские фермеры взламывают и устанавливают украинскую прошивку на тракторы

                          В августе 2015-го была опубликована статья "Самостоятельный ремонт трактора John Deere — нарушение закона DMCA", в которой шла речь о том, что владельцам тракторов фирмы John Deere нельзя самостоятельно устранять возникшие неполадки — необходимо ждать приезда техника из компании или везти трактор к официальному дилеру, который может находиться на расстоянии в несколько десятков километров.

                          Если с деталями трактора что-то не в порядке, то информация отображается на его дисплее. К примеру, у фермера был такой случай: ремни привода потеряли натяг.
                          Но, к сожалению, пришлось ждать целый день, когда приедет официальный представитель компании. Диагностика того, что вышел из строя всего один сенсор, обошлась владельцу в 120 долларов.



                          ПО тракторов защищены законом Digital Millennium Copyright Act, и при его нарушении грозит штраф до 500 тысяч долларов США и/или тюремное заключение сроком до пяти лет. Изначально закон был придуман для борьбы с цифровым пиратством и прецедентов с фермерами не было.

                          В июле 2016-го вышел материал "Фермеры США все еще пытаются добиться права ремонтировать собственные тракторы John Deere", в котором было сказано, что фермеры пытались «продавить» поправки к указанному закону.

                          Однако, исходя из опубликованного на днях материала Motherboard, становится понятно, что с самостоятельным ремонтом тракторов всё до сих пор не хорошо. Или наоборот, смотря как посмотреть: американские фермеры взламывают и устанавливают украинскую прошивку на тракторы.
                          Читать дальше →
                        • Уязвимость в платёжном сервисе Платинум Банка (Украина)

                            Не так давно я решил протестировать очередной банк или платёжную компанию на предмет наличия простой, но от этого не менее популярной уязвимости вида «Возможность просмотра операций других клиентов».

                            Почему я пишу, что эта уязвимость простая? Потому что украинская электронная платёжная система Portmone.com в прошлом году имела такую ошибку. Как и Фидобанк (пост на Хабрахабр). Впрочем, как и упомянутые там же Qiwi или Тинькофф Банк — примеров множество. А сколько ещё не найдено, не опубликовано…

                            Итак, с целью разминки мозга мне захотелось проверить кого-то ещё. А в конце августа "Platinum Bank представил новый платежный портал pay.ptclick.com.ua".

                            Про Платинум Банк с официального сайта:
                            Platinum Bank – один из крупнейших участников отечественной банковской системы. Относится к І группе банков согласно рейтингу НБУ (на долю Platinum Bank приходится более 0,5% активов банковской системы Украины). Региональная сеть насчитывает 69 отделений и 1080 пунктов продаж в различных регионах Украины…

                            Также банк активно работает над проектом Digital Bank. В частности, активно развивает платформу pay.ptclick.com.ua и лабораторию финансовых инноваций Platinum Lab.

                            Вот его я и решил проверить на очевидную уязвимость.

                            Регистрация на портале pay.ptclick.com.ua предельно проста — e-mail + пароль и поле для капчи.


                            Читать дальше →
                          • Хакеры украли с помощью бота у четырёх банков миллиард рублей

                              Спецслужбы раскрыли группу киберпреступников, обманувших "Промсвязьбанк", "Траст", "Уралсиб" и кредитное учреждение "Зенит".

                              16 человек в Москве организовали киберпреступную группу и занялись мошенничеством в Интернете. Начала группа работать с суммы в миллион рублей, постепенно увеличая сумму. Всего за четыре месяца команда ограбила финансовые учреждения на миллиард рублей. Афера удалась благодаря специальной программе, которую они создали.

                              image

                              Читать дальше →
                            • Киберпреступная группа Carbanak связана с российской компанией в сфере безопасности?

                              • Translation
                              Brian Krebs написал у себя в блоге объёмный материал, который показывает интересный взгляд на то, кто и как связан с группой Carbanak, нашумевшей во взломе около 100 финансовых учреждений и похитивших около 1 миллиарда долларов США.

                              Ниже перевод данной статьи (замечания просьба писать в личные сообщения).


                              Наиболее известной киберпреступной группой является группа Carbanak. Этих хакеров из Восточной Европы обвиняют в краже более миллиарда долларов из банков. Сегодня мы рассмотрим некоторые убедительные улики, указывающие на связь между Carbanak и российской фирмой по безопасности, претендующей на работу с некоторыми крупнейшими брендами в сфере кибербезопасности.

                              Группа Carbanak получила свое название от вредоносного банковского программного обеспечения, используемого в бесчисленных кибер-кражах. Данная группа, пожалуй, является самой известной за проникновение в банковские сети с помощью заражённых файлов Microsoft Office, используя затем этот доступ для выдачи наличных банкоматами. По оценкам Лаборатории Касперского, Carbanak-ом, скорее всего, украдено более 1 млрд. долл. США, – но, в основном, из российских банков.

                              image
                              Читать дальше →
                              • +14
                              • 12.1k
                              • 9
                            • Очередное крупное мошенничество с использованием платежных карт

                                В статье ноября 2015-го была описана ситуация с относительно новым видом мошенничества, с помощью которого преступники похищали деньги с банковских счетов: Хакеры изобрели новую схему воровства денег, украв 250 млн. рублей. Как именно происходило мошенничество, кратко:

                                Преступник получал платёжную карту, пополнял её и тут же снимал внесённые деньги в банкомате, запрашивая чек. Далее данные о транзакциях отправлялись сообщнику, который имел доступ к зараженным POS-терминалам. Через терминалы, по коду операции, формировалась отмена снятия наличных. В результате баланс карты мгновенно восстанавливался и у злоумышленника появлялись «отменённые» деньги на счету. Преступники повторяли эти действия многократно, пока в банкоматах не заканчивалась наличка, модифицируя свою схему после исправления банками ошибки. Тогда было открыто несколько судебных дел в отношении виновных, «денежные мулы» были из Лондона, Украины, Латвии и Литвы.

                                Однако сейчас появилась новость об очень похожей ситуации, включающая и названия пострадавших компаний. Сумма ущерба на этот раз почти в два раза больше — около полумиллиарда рублей.

                                image
                                Читать дальше →
                              • Преступники, заражавшие банкоматы вирусом, пойманы на горячем

                                  В Киеве обезврежена преступная группировка, которая специализировалось на тайном проникновении в сервисные части банкоматов и дальнейшем заражении вредоносным программным кодом операционной системы банкоматов, что приводило к несанкционированной выдаче средств. Украинским банкам был нанесён ущерб в размере более 5 миллионов гривен, а аналогичные случаи заражения банкоматов имели место на территории Львовской и других областей Украины.


                                  Читать дальше →
                                • ПриватБанк начал продавать сойлент

                                    Что такое «ПриватБанк», думаю, объяснять не нужно. Некоторые могут уже знать о том, что такое «сойлент», если читали эту «Сойлент 2.0 — жидкая еда будущего для борьбы с перекусами и фастфудом» или любую другую статью о данном продукте. Но большинство всё же может быть не в курсе, что за продукт такой «сойлент», поэтому я опишу, что это такое и с чем его едят (в прямом и переносном смыслах).

                                    Сойлент (англ. Soylent) — напиток, призванный по замыслу создателя, американского предпринимателя и программиста Роба Райнхарта (Rob Rhinehart), полностью заменить традиционную пищу. Содержит все вещества, необходимые для поддержания жизнедеятельности: углеводы, аминокислоты, белки, жиры, клетчатку, кальций и многое другое. Разработан в 2013 году, с апреля 2014-го поставляется в виде порошка, растворимого в воде. С августа 2015-го также доступна питьевая версия, т.н. «Сойлент 2.0» (да, у этого пищевого продукта существуют версии – его рецепт периодически улучшается и проходит, так сказать, апгрейд).

                                    image
                                    Читать дальше →
                                  • Взгляд внутрь кибермошеннических колл-центров

                                    • Translation
                                    Brian Krebs, автор блога о взломах, хакерах, вирусах и другом, что связано с компьютерной безопасностью, не так давно написал пост о мошеннических колл-центрах. Что интересно, в статье описаны не те колл-центры, которые работают для обмана «своих» жертв, а те, которые работают, обманывая «чужих» клиентов за комиссию от звонка, т.е. колл-центры, которые работают на аутсорс.
                                    Такой себе «CCCCaaS» – «Cyber-Crime-Call-Center-as-a-Service». Термин мой, родился при написании данной статьи (к тому же, аббревиатура «CCaaS» в интернете уже занята такими понятиями как «Contact-Center-as-a-Service» и «Customer-Care-as-a-Service»).
                                    Второй особенностью таких онлайн-бизнесов является их принадлежность к постсоветскому пространству.

                                    Ниже художественный перевод данной статьи (замечания просьба писать в личные сообщения).

                                    image
                                    Читать дальше →
                                    • +10
                                    • 19.3k
                                    • 4
                                  • Пойманы преступники, опустошавшие банкоматы с помощью вируса Tyupkin

                                      Европол задержал преступников, которые опустошали банкоматы без использования пластиковой карты — с помощью заранее загруженного в банкомат вируса Tyupkin.

                                      image

                                      Сначала, с помощью загрузочного компакт-диска преступники получали доступ к установленным внутри банкоматов компьютерам под управлением одной из старых версий Windows и заражали их вредоносом. Данный вирус имел некоторые особенности: он отключал установленную антивирусную защиту, а также большую часть недели проводил «в спячке»: принимал команды от преступников по ночам — с субботы на воскресенье и с воскресенья на понедельник. Также троян мог отключать местную сеть, чтобы службы банка не могли удалённо подключиться к банкомату и проверить, что с ним происходит.
                                      Читать дальше →
                                    • Как я разблокировал найденный телефон методами соц. инженерии

                                        Конец рабочего дня, вечер, я нахожу на улице телефон. Им оказывается Samsung Galaxy S5 Mini, экран заблокирован с помощью CM Locker (это важно).

                                        На телефоне подключён интернет, видны уведомления Instagram, Youtube, но ни одного пропущенного звонка или SMS. Да и что толку – нажать на уведомление, чтобы перейти к его деталям, из заблокированного состояния нельзя. Панель уведомлений также вызвать не получается, можно лишь запустить фонарик, включить/отключить передачу данных, Wi-Fi, блютуз и калькулятор. Ну и уменьшить/увеличить яркость/громкость, откуда тоже не добраться до набора телефонного номера или SMS.

                                        Через пару часов телефон таки зазвонил. Мы договорились, что владелец заберёт его у меня завтра, так как он сейчас находится на другом конце города.

                                        А в 6 утра на телефоне зазвонил будильник. Я сдвинул уведомление вправо и лёг обратно в кровать. Через пару минут будильник зазвонил снова. Что ж, я сдвинул значок влево. Не тут-то было – он снова зазвонил через несколько минут (забегая наперёд, скажу, что это не невозможность отключить будильник при заблокированном телефоне, а просто его владелец настроил около десяти будильников с разницей в пару минут между собой). Оставлять телефон звонящим в другой комнате или выключать его мне не хотелось, поэтому решено было найти способ разблокировать его.

                                        image
                                        (скриншот для примера)
                                        Читать дальше →