Дырявый Приват24 от Приват-Банка

Читаю отзывы месячной давности о новом механизме авторизации интернет-банка Привата — Приват24.

Удивлен.
Было бы больше денег на карточках — был бы шокирован.

Несколько дней существовали такие дыры в безопасности, что через них можно было протащить слона. Зная только ИНН человека и имея любой мобильный телефон можно было получить доступ к его карточным счетам в банке.

Раньше для этого требовалось получать код в банкомате. Сейчас вход в систему возможен через ИНН.

Действующая сейчас система авторизации требует знания персональных данных о человеке, которые при желании можно легко выяснить (адрес, девичья фамилия матери).  Особенно если речь идет о знакомом или родственнике (под катом — цитата про тещу :)

Теперь понимаю почему с таким негативом моя знакомая из банковской сферы отзывалась о Привате и его персонале.

Системы безопасности нет как таковой. Очевидно потому что ее просто некому в этом банке создавать и поддерживать.

Сервис… с поддержкой Приват24 я сталкивался ранее. Внятного ответа на четко сформулированные вопросы добиться не удавалось.

Пора из этого банка уходить.

Смотреть буду в сторону:

  • УкрСиббанк — Internet-banking
  • УкрСоцБанк
  • Укрэксимбанк — Финансовый портал
  • Правэкс-Банк — Интернет-Клиент-Банк
  • Аваль — Интернет-банкинг
  • Финансы и Кредит — Интернет-банкинг
  • ОТП
  • Юникредит

У новости о смене схемы авторизации/регистрации около 500 комментариев (рекорд). Практически все — негативные и крайне негативные. Самые интересные — под катом.

(типичный пост для тех дней)

Андрей Александрович
03 июн 2008,Вт 16:25:41

ВНИМАНИЕ!!! Сейчас у меня аккаунт в Приват-24 привязан к моему телефону. Я (мошенник) регистрируюсь в Приват-24 повторно зная свой ИНН и привязываю к новому аккаунту новый телефон (мошенника). Все мои карты подтягиваются автоматически в новый аккаунт (мошенника). При этом работают одновременно два аккаунта — мой и мошенника. Все это я проделал со своим аккаунтом и все подтвердилось. ВЫВОД- для завладения счетами жертвы нужно знать только ее ИНН. Больше сказать мне нечего!

Андрей Александрович
05 июн 2008,Чт 09:40:51

Согласен. Удивляет что уже более 1000 активных, профессиональных, образованных, умных, обеспеченных людей, как говорится СРЕДНИЙ КЛАСС, говорят, что эта система им неподходит. Многие грозятся даже вывести свои активы из Банка. А банку хоть бы хны. Все с беспокойством говорят о том что наш деньги можно украсть теперь свободно (даже не будучи профссионалом) а безопасность говорить, что ничего «деньги из системы вывести нельзя».

Константин Сергеевич
05 июн 2008,Чт 13:41:46

и еще, как профессионального разработчика поражает, что такая сырая работа выставляется на показ. Такое ощущение, что ее делал один человек без какого либо согласования и обсуждения. качество реализованных идей на уровне курсовой работы 3-4 года обучения. Серьезный коллектив мог бы придумать что-то попристойнее.

Усе ОК!
Костянтин Петрович
04 июн 2008,Ср 19:11:47

Ну що ж… Протестувавши нову систему по рiзних параметрах зробив наступнi висновки. Дiрка в захистi по ДРФО, очевидно що була, i була кiлька днiв. Зараз її не iснує. Тобто вiдкрити вiртрахунок можна на кого хоч (по ДРФО чи чомусь iншому, написавши в графах реєстрацiї рiзну фiгню), але вiдкриються лише «нульовi» вiртрахунки, доступу до даних реальних суб’єктiв немає (навiть, якщо у всiх графах написати реальнi данi, включаючи «дiвоче прiзвище матерi» i т.п.). Дiрка лiквiдована, але, дещо «через з…цю» (втiм, дивуватися нiчому, так не лише в нас, впроваджуються нововведення). Доступ до змiн власних даних (моб. телефон, i т.п.) блокований для новозареєстрованих користувачiв. Доступ до змiн паролiв i логiнiв блокований для всiх (при виходi на вiдповiдний пункт меню перекидає на «головну» (новини). Перевiрив це на членах своєї сiм’ї та «вiртуальних особах». Будемо сподiватися, що це тимчасове явище, доки не знайдуться засоби закривати дiри цивiлiзованiшими методами. Тепер, щодо сутi нововведення. Пароль+логiн завжди було ненадiйно. Я, яко тримаючи з-за неможливостi запам’ятати всi (а їх тепер сотнi по рiзних сайтах i т.п.) тримав їх на ПК. Де гарантiя, що якийсь троян чи хробак вже не передав їх через Iнет тому, кому не треба? Члени сiм’ї час вiд часу заглядають через плече — що вiн там робить на цьому ПК? Iнет-кафе, врештi, — не така проблема пiдзирити за шляхом пальцiв, що щось клацають на клавi, набираючи Пароль+логiн (сам грiховний, колись пiдгледiв i дечим скористався). Впевнений, що таких як я — тисячi. Отже про нас i турбуються. А одиницi незадоволених (хоча, нехай їх i тисячi, але порiвняно з десятками тисяч…) мають дiйсно, або змиритися з тим, що сталося, або якось вирiшити свої проблеми (що це за претензiї — «ми у пiдвалi», «у мене пiпл-нет», «я принципово не хочу користуватися мобiлою» — виведiть зовнiшню антену, придбай сiм-карту порядного оператора, а принципово не хочеш користуватися мобiлою — «принципово» вiдмовся i вiд користування Iнетом та став претензiї до Привату, що вiн вiдмовляється надати тобi доступ до твоїх рахункiв через коннект зi силою ТВОЄЇ ДУМКИ). Дозволити альтернативнi входи на вибiр (по старому — по новому) — собi ж дорожче. Коли бабки свиснуть i виникне скандал — хто доведе як ти входив i вибрав вхiд пiд назвою «я с…в на свою безпеку»? А бiльшiсть, судячи з коментiв, саме так i збираються чинити! Тож метод Петра I єдино прийнятний, коли бiльшiсь клiєнтської бази, по своїй дурi, може завалити не лише свою безпеку, а й репутацiю банку. В «коменти», в основному пишуть люди, в яких виникли проблеми (+ якi просто цiкавляться такою рiччю, i просто спроможнi туди щось написати). Тому не можна робити висновки по статистицi (щодо ставлення клiєнтiв до нововведеннь) з аналiзу коментiв. Вивчивши всi коменти (а їх вже бiля тисчi), зробив висновок — претензiї, як на прикладення до мене, безпiдставнi, а з позитивними коментарями — згоден на 100%. Там вiрно описанi позитиви нової системи, тому повторно тут їх не приводжу. Крики, що вiд чийогось (не свого) iменi можна вiдкрити вiртуальнi рахунки (з метою проведення незаконних операцiй) не можуть сприйматися серйозно. Це можна зробити не лише в системi Привату. Не лише в Українi. Не лише в банкiвськiй системi. Вiд цього (вiд несанкцiонованого вiдкриття рахунку вiд вашого iменi) не застрахований НIХТО! I номер ДРФО (а не IНН, IПН, iденкод та подiбнi непристойнi синонiми) та Приват тут нi до чого. Ця можливiсть iснувала в системi Приват24 вiд її народження. Не виключено, що частина клiєнтської бази Привату саме тому тут i тримається (а отже i формує значну частину його прибуткiв). Якщо дiйсно iснує дiрка в безпецi, що по ДРФО можна вийти на чиїсь рахунки (в чому глибоко сумнiваюся) — то про це дiйсно варто говорити, але проблеми закрити цю дiру достатньо оперативно не iснує (так само i iншi проблеми, типу секретний пароль=несекретний нiк). Якщо хтось сумнiвається, спробуйте по ДРФО отримати доступ до рахункiв Дубiлета, Вiтязя i т.п. Врештi решт, саме поняття Iнет-банкiнга тягне за собою всi перелiченi в коментах проблеми. Щось не подобається — йдiть в Кам’яноВiкПечерБанк (де нiколи не буде нi Iнет, нi Мобiл, нi ОБС-банкiнгу), укладайте письмовий договiр, здавайте платiжнi доручення надрукованi на друкарськiй машинцi та засвiдченi «мокрою» печаткою i т.п. В Приват24 мають iти люди, якi знають, якi ризики тягне за собою користування такою системою, та проводять операцiї з оглядкою на вiдповiднi ризики! Слiд визнати, що перед «революцiєю» варто було б попередити клiєнтiв (хоча б тими ж СМС-ками). Тодi клiєнти б встигли, на перiод, доки все не «устаканиться» переховати свої кошти в надiйнiше мiсце. З iншої сторони — чи не було б це самовбивством для Привату — самому провокувати масовий вiдтiк коштiв зi своєї системи? Питання риторичне… Так, Приват зробив чергову революцiю. Так само, як i колись, запровадивши власне Приват-24. Тодi незадоволених (запровадженням самої системи) не було. Тепер, коли ще не всi, але вже одиницi (а завтра — десятки) банкiв по Українi починають запроваджувати те саме, з певними варiацiями, дiйсно вартувало подумати про щось ще бiльш ефективне, новiше та революцiйне. Ось вам i система Лiк-пей. Вiват Че Гевара-м!!! Якби не вони, ми б досi валили у вiддiлення Ощадбанку, стояли б у чергах та сплачували комiс у 15 грн. (як в Укрсоцбанку) для того щоб переказати гривню сусiду. Задоволенi (а таких, очевидно, 90%) не пишуть. Незадоволенi можуть валити. Банк втратить 10%, але завдяки пiдвищенню системi безпеки та новвовведенню Лiкпей здобуде ще 100%. Я експ провiв — переказав колезi в США 5 центiв. Вiн охренiв. Приват — рiч унiкальна (в своєму образi), претензiї щодо роумiнгу, наявностi Iнтернету i вiдсутностi покриття не приймаються. Ще 10 р. назад не було нi Iнет, нi роумiнгу, нi взагалi покриття. До кого тодi можна було поставити претензiї? Банку краще видно — задовiльняти iнтереси тої тисячi клiєнтiв, що тримає по тисячi, чи тої трiйки, що тримає по 100 тис. Вiрно, що з реакцiєю на листи (принаймнi по мейлу) в Приватi тугувато. Писав не раз, конкретної вiдповiдi не отримав на жоден лист. Чому я все це написав… У мене мало часу для подiбних дурниць (перегляду коментiв, створення свого…), є бiльш нагальнi справи. Але як людина причетна до таємницi, в якiй сказано «Хоч правити — прав!» (тобто керуй, а не вигукуй рiзнi дурницi), i знаючи, що розумнi люди через пропаганду своїх думок потрохи скеровують свiт до кращого, вiдчув обов’язок пiдтримати людей, якi впроваджують революцiйнi нововведення (якi, можливо, при впровадженнi, далекi вiд досконалостi, будуть ще «доводки») не зважаючи на всi ляпаси, що на них сипляться (у виглядi тих же коментiв). Респект Вiтязю (думаю — це його iдея Лiкпей та iн.). Респект усiм «темним конячкам», якi не зважаючи на малу зарплату, коменти та iн. все ж просто роблять свою роботу. P.S. Витяги з цього коменту дозволяю використовувати персоналу Привата з метою пiару. Застерiгаю авторськi права. Кошти надсилати по вiдомому Вам рахунку.

Андрей Владимирович
06 июн 2008,Пт 17:34:28

Я использую Приват 24 уже более 3х лет. Кроме того у меня есть аккаунт на PayPal и др. сервисах, которые предаставляют финасовые услуги через интернет. НИГДЕ НЕТ ТАКОГО НОВОВВЕДЕНИЯ!!! Знакомая имеет несколько счетов и кридитных карт в Американских банках. Так она для доступа ко ВСЕМ СВОИМ СЧЕТАМ И КАРТАМ использует ЛОГИН и ПАРОЛЬ а не номер мобильного!!! Кажется ктото с бодуна решил ввести новую «фишку» при этом не попробывав ее в действии. Банк работает не для клиентов. Их мнение не учитывается. P.S. До 15 числа я закрою все карты и разорву все отношения с Приватом.

С надеждой и любовью
Александр Григорьевич
08 июн 2008,Вс 15:11:24

Отдам в «умелые руки» верификационные данные тещи. Вознаграждение гарантирую.

Для интима будут клиенты системы
Алексей Николаевич
08 июн 2008,Вс 19:02:44

Для длительных, серъезных отношений познакомлюсь с девушкой, которая верифицирует клиентов в Приват-24. Интим не предлагаю…

Остались одни лохи
Андрей Александрович
10 июн 2008,Вт 09:07:08

Извините, конечно, за грубость но в ПРИВАТЕ остались одни лохи. Соображающие люди перешли в другие банки. Пусть я не буду каждый день видеть свой счет и депозит, но буду точно уверен, что деньги не будут сворованы сотрудниками банка. Очень неприятное впечатление осталось о вас, господа приватовцы.

как обычно первыми отреагировали кардеры :))
Юрий Эдуардович
15 июн 2008,Вс 11:53:24

http://carddomen.cn/showthread.php?t=14448

И как же они отреагировали?
Максим Леонидович
17 июн 2008,Вт 01:36:40

Не увидел ничего особеного. Если кому лень регистрироваться на сервисе содержание поста: ****************************************************** Доброго времени суток! Уважаемые форумяне, я рад представить Вам сервис по изготовлению ATM карт на своих дропов. ATM Карты: ATM карты делаются исключительно для анонимного обналичивания чистых денег. В случае лока карты по Вашей вине (грязь) Вам будет отказано в поддержке и предоставлении услуг в дальнейшем и возможно будет создан блек за нарушение правил сервиса (если это соответствует правилам ресурса). Мои гарантии и условия работы: — 1 дроп = 1 карта, на одного дропа ни в коем случае не будут открываться другие карты для других людей. Считайте, что это Ваш персональный дроп. — Если Вам нужно включить онлайн (включается через банкомат), то делаю это лично я и никто другой. Мне в руки карта попадает в запечатанном конверте вскрываю лично я. Стоимость онлайна 10$ учитывая стоимость симкарты — Я не храню никакой информации по картам у себя, после отправки комплекта клиенту все полностью стирается с моего компьютера. Информация о карте Банк эмитент: Приват Банк, Украина Тип карты: Анонимная, Maestro\Visa (Мгновенная), так же возможно открытие других карт\счетов (обсуждается в ICQ) Лимиты на снятие: 1k$ в сутки — повышается по телефону или в чате банка. Валюта на выбор: USD\EUR\UAH Тарифы на снятие: 1% в банкоматах ПриватБанка и Москомприватбанка, 1%+3$ в любом другом банкомате Тарифы на зачисление с WebMoney: 2%-3% в различных обменниках (всегда поможем с выводом) В комплект входят: — ATM карта ПриватБанка — Данные дропа для повышения лимита — Онлайн доступ и симкарта для входа по желанию клиента Цена карты: 165$ + доставка (проводником, заказным письмом, UPS, ) Цена подключения онлайна: 10$ (включает в себя стоимость симкарты для авторизации) Дополнительные услуги: Подбор дропа под Ваши параметры (рост\вес\пол\возраст\90\60\90) некоторая благодарность, обсуждаемая в ICQ и напрямую зависящая от Ваших требований.

Закриваю всi рахунки в Приватi
Назарiй Iванович
16 июн 2008,Пн 11:23:59

Ну його нафiг.. з таким рiвнем сервiсу i нововведеннями йдьте в Нiгерiю, а я переходжу в iнший банк. Я не збираюсь воювати з вiтряками. Удачi !

Начинаем Зарабатывать!
Александр Александрович
21 июн 2008,Сб 17:08:17

Итак, для начала идём в магазин и покупаем карточку любого мобильного оператора, ставим её в телефон… Затем берём телефонный справочник, выпираем любую понравившуюся фамилию, хоть Ющенко) Заходим на замечательный сайт www.radarix.com на котором нелегально выложены паспортные и налоговые данные миллионов украинцев, и берём там идентификационный кодик) Затем смело регистрируемся в системе, заходим в пункт «мобильная связь» и начинаем за чужие деньги покупать электронные ваучеры, покупаем столько, сколько влезет)… Коды пополнения распечатываем и продаём, или например до «конца жизни» пользуемся сами) Купленную в магазине симку выбрасываем… Если кто-то боится зделать это из дома, пожалуйста — есть интернет клубы! Хорошо что хоть для юридических лиц такое нововведение нереально! Если не отмените, буду менять банк!

Похожие записи:

Дырявый Приват24 от Приват-Банка: 8 комментариев

  1. Vlad

    Хоть кому-то это удалось? Вот есть уж народ, лишь бы пошуметь. Конечно, же, такой дырки не было. Читал объяснения не раз со стороны Привата, что привязывание карт происходит только после верификации.

  2. Эрт Автор записи

    Если есть те, кому это удалось, то наверняка они не будут кричать об этом на каждом углу. И в умалчивании таких случаев заинтересован прежде всего Приват.

    Я проходил эту «верификацию». Даже подумал что телефонный развод, поэтому потребовал у оператора выложить половину моей личной информации.

    Такую личную информацию и ИНН можно достать о любом человеке. Украсть («восстановить») телефон также можно. Устная «верификация», привязывание карты. А потом, мелкими транзакциями перевести деньги на свои счета и обналичить. И ищи ветра в поле.

  3. Doktor Zlo!

    Нефига себе а чё делать если Приват обслудивает универ в котором я учусь? Если такой прикол пошел на привате буду реаотно валить оттуда. Спасибо за информацию

  4. rvjenya

    История произошедшая со мной лично. Более 16 суток назад мне сделали перевод из италии сумма около 1000 $ (была в евро). Счет у меня гривневый. Переспросил, ознакомился с условиями конвертации , да и раньше пользовался но в нутри страны. Сказали что через 7-о суток перевод прийдет. Прошло 7 дней я пишу в чат приват 24, мне отвечают что деньги уже пришли , только нужно подъехать в отделение банка и написать заявление о согласии на конвертацию. Я же в этот же день подъезжаю в отделение, сотрудник смотрит по базе говорит — «Да. Деньги уже на месте, но они в валюте, а счет у вас гривневый» Я отвечаю, что мне подсказали в чате что нужно писать заявление о конвертации, он звонит и проверяет о каком заявлении идет речь, После диктует заявление и переносит сумму на карту (обрабатывает) но при этом говорит — «обработка конвертации займет около суток». Проходят сутки, двое, трое.. денег НЕТ. Звоню в отделение, пишу в чат, мне отвечают что в системе нет такой суммы и никто мне ничего не переводил. Я немного был шокирован, после начал усердно названивать и узнавать. До сих пор не знают где делся перевод. Кормят завтраками и обещаниями что все решим. Надоело уже думаю огласить эту информацию в нескольких источниках чтобы никто не пострадал от этого банка. Также намерен подать иск в гос. органы на данный банк. Мой Email: [email protected] , подскажите с чего начать и как вернуть деньги!

  5. Эрт Автор записи

    К сожалению ситуация не еденичная

    Рекомендую к прочтению ветки этого форума:
    http://forum.finance.ua/viewforum.php?f=20
    Там обсуждались подобные ситуации и принимаемые действия — куда обращаться и какие письма с уведомлением писать.

    P.S. Если решать через Приват, то через рядовых сотрудников или ТЕМ БОЛЕЕ чат 24 — не решить. Нужно дергать начальство и их начальство. С заявлениями в письменной форме.

  6. кэт

    мне предложили работу в качестве внештатного агента этого банка…но послушав как там все делается..сначала ты открываешь кредитную карту…потом через два дня связыватся агенты и типа помогают начать работать….если я не открывала кредитную карту и не подписывала договора могу я отказатся..они предоставили услугу карта на дом..я блин сначала согласилась..а уж после отзывы почитала..

  7. витя

    тот, кто рассуждает о безупречной надежности приват24 не держит там своих денег, и вообще в банке первый раз. Но есть такой парадокс в поведении: чем надежней система, тем больше к ней равнодушия. Даже с минимумом положительных отзывов в нете + живые заверения в надежности от работника банка перевешивает опасения. Казус не в банке, а в самом интернете, где можно писать что угодно и о ком угодно без особых рисков.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *