ПУМБ (2004 - 2021)

Любой желающий у кого есть всеможу может легко и без комиссии проверить что при переводе денег с карты ПУМБ-а на карту Монобанка при первом переводе запрашивается подтверждение в мобильном приложении ПУМБ. При последующих да, не запрашивается. Но назвать это уязвимостью врядли логично, это как раз удобство.

Как по мне:
При толкании - да, подтверждение не нужно.
Но при любой тянучке должно быть подтверждение на стороне донора.
А в этом видосе описаны именно тянучки с пумбы.
Если по ним реально не запрашивается 3дс - то это весьма печально

Да, у Мони для карт ПУМБы запрос на 3Д в этом случае происходит только ПЕРВЫЙ раз, при подвязывании. И блогер сообщил, что такое подвязывание было с вводом ЦВВ. Но СМСка с паролем для отображения ЦВВ у него на телефоне отобразилась уже только после скачивания всех грошей, т.е. ее кто-то притормозил, введя пароль и получив ЦВВ карты.
Я думаю, шо подменили СИМку, и подобрали пароль на ПУМБ.
Привет банкам, де логин = номеру телепона

ПС. В ИБ ПУМБЫ отображаются айпишники входа

Тоді і карта Ахметбая мала бути скомпрометована (зловниснику було відоме і СВВ). Ні?

ПУМБ при вводе с неизвестного компа может дополнительно попросить СМС-пароль.

Я не об этом. Если у ПУМБ есть функциональность блокировать доступ, скажем, после 3 неудачных попыток входа (неправильный ввод пароля), то тупой подбор пароля - не такая простая задача. Она-то в принципе и без блокировки не такая простая задача.

блокировка есть, причем более того - можно заблокировать кому то другому интернет банкинг - у меня другу кто-то попробовал поперебирать пароль и в итоге восстанавливал доступ в отделении

Тоді і карта мала бути скомпрометована (зловниснику було відоме і СВВ). Ні?

Да. Без CVV хоть сколько перехватывай СМСки и подбирай пароли - операцию по переводу денег не получится сделать.

Блогер же говорит что карта аки яйцо Кощея - с момента получения лежит дома "в ларце".

Но там же было СМС с кодом для просмотра СМС. Правда, пришло оно автору утром следующего дня, но в самом СМС дата и время как раз подходящие. То есть, CVV изначально мог быть неизвестен, но при наличии доступа в приложение и доступа к чтению СМС CVV можно было узнать.

Я думаю, шо подменили СИМку

А в чём проблема сделать финансовый телефон на контрактную симку, где заменить её можно только с паспортом?

Но там же было СМС с кодом для просмотра СМС. Правда, пришло оно автору утром следующего дня, но в самом СМС дата и время как раз подходящие. То есть, CVV изначально мог быть неизвестен, но при наличии доступа в приложение и доступа к чтению СМС CVV можно было узнать.

Так шо першопричина це несанкціонований доступ в додаток
Колись в мене таке було з Поляком молодшим.
Вони там фіксують входи по IP.
Вхід був з зарубіжного ІР.
Зловмисник зайшов і хотів 6000 відправити на якийсь рахунок, я отримав СМС підтвердження і звязався з банкою...грошенята з банки не втікли.

Я думаю, шо подменили СИМку

А в чём проблема сделать финансовый телефон на контрактную симку, где заменить её можно только с паспортом?

Ага, вже перестрахувався так в МТС.

Я думаю, шо подменили СИМку

А в чём проблема сделать финансовый телефон на контрактную симку, где заменить её можно только с паспортом?

Так если бы симку подменили, то симка автора была бы неактивна, а она, я так понимаю, осталась активной.

Залишилося з'ясувати, як ЛУМУМба реагує на паралельні сесії з різних пристроїв.

-9999999999 проверено

т.е. ее кто-то притормозил, введя пароль и получив ЦВВ карты.
Я думаю, шо подменили СИМку, и подобрали пароль на ПУМБ.
Привет банкам, де логин = номеру телепона

видно профи, ближе всех подобрался концептуально ))

впрочем, поскольку фактов нет - гадать можно по кругу бесконечно,
с ПУМБ все что можно порекомендовать - держать приложение не на финансовом номере

проблема действительно может теоретически случиться