Все про банківські послуги: відкриття поточних рахунків для фізосіб, СПД та юридичних осіб, розрахунково-касове обслуговування (РКО), клієнт-банк, інтернет-банкінг, комунальні платежі населення, отримання готівки та інші послуги.
klug написав:Тобто, висновки: 1) Інтернетом гуляє відносно свіжа (не старше 2-х років) база Прихвата; 2) горе-Прихват для чогось у відкритому вигляді зберігає у себе паролі від сертифікатів + пошту + можливо ще якісь дані; 3) визнавати зашквар, ніхто не збирається, бо вже давно було б у новинах.
З одного боку є надія, що це все ж витік з АЦСК, а не самого Прихвата, бо першим ділом атакували б П24, якби їм дісталися від нього паролі. З іншого боку, з сертифікатом і паролем до нього теж можна багато біди наробити. Залишається лише питання, чому поки на цей веселий спам скаржиться лише 500, де решта постраждалих?
так сам сертификат у пользователя хранится и его еще надо как-то получить, чтобы использовать...
В теорії і пароль лише користувач знає, але якщо вдалося злити пароль, то де гарантія, що до нього не додавався приватний сертифікат?
походу пароль от сертификата хранится у привата (и наверное не только у него) в открытом виде и не хешируется, возможно это требование налоговой или такой у них стандарт убогий. По идее ваша часть сертификата, есть только у вас. а в банке другая часть, т.е. и одно без другого не работает. Если потеряете сертификат, то банк предлагает только перевыпуск - восстановить старый не могут, может потому и пароль не хешируют.
ol_zy написав:походу пароль от сертификата хранится у привата (и наверное не только у него) в открытом виде и не хешируется, возможно это требование налоговой или такой у них стандарт убогий. По идее ваша часть сертификата, есть только у вас. а в банке другая часть, т.е. и одно без другого не работает. Если потеряете сертификат, то банк предлагает только перевыпуск - восстановить старый не могут, может потому и пароль не хешируют.
Я бачу, що Вам складно в логіку, але спробую ще раз. Якщо я забуду пароль, то Прихват мені його нагадає? - Ні. Чи доводить це, що вони його не зберігають? - Ні. Чи гарантує те, що вони не дають повторно завантажити приватний сертифікат, що вони собі не зберігають копію?
І яким взагалі боком податкова до роботи АЦСК Прихвата?
ol_zy написав:походу пароль от сертификата хранится у привата (и наверное не только у него) в открытом виде и не хешируется, возможно это требование налоговой или такой у них стандарт убогий. По идее ваша часть сертификата, есть только у вас. а в банке другая часть, т.е. и одно без другого не работает. Если потеряете сертификат, то банк предлагает только перевыпуск - восстановить старый не могут, может потому и пароль не хешируют.
Я бачу, що Вам складно в логіку, але спробую ще раз. Якщо я забуду пароль, то Прихват мені його нагадає? - Ні. Чи доводить це, що вони його не зберігають? - Ні. Чи гарантує те, що вони не дають повторно завантажити приватний сертифікат, що вони собі не зберігають копію?
І яким взагалі боком податкова до роботи АЦСК Прихвата?
Вообще-то есть стандарты по безопасности. Ключ от привата можно использовать на сайтах гос органов, и вот госорганы могут диктовать свои требования, чтобы ключ от привата к ним подходил. Как правило своя часть сертификата формируется на вашем компе и в банк не передается, когда-то в некоторых банках открытая (общая) часть печаталась и с подписью (печатью) клиента передавалась банку. Когда получал ЭЦП в налоговой, то формировал свою часть ключа и она писалась на флешку, на диске налоговой оставалась только их часть. Я не вдавался в подробности как они шифруют, но думаю на каждой стороне есть своя часть + есть открытая часть + пароль для шифровки передачи или рассчета хеша. И при авторизации передается хеш, который сравнивается с хешем на сервере банка. По хешу банка вы восстановить ключ (сертификат) не сможете, поэтому банк не может восстановить вашу часть. Еще раз - это я пишу как бы оно должно было быть, а как оно есть на самом деле не знаю - не изучал. Поэтому предполагаю, что пароль на ключ и не шифруется и может где-то в банке и храниться. Вообще пароль ключа - это пароль доступа к ключу и он в приват, по идее, не передается, поэтому я и предположил, что утечка происходит на стороне оборудования "500", а не из привата. Вот например, почитайте
500 написав:Надо было 5250 заплатить налом через кассу Аваля от имени третьего лица юридическому лицу за коммуналку. В банке истерика - более 5000 ни-ни.
Предлагаю 2 платежами.
Вы что!!!! Это же дробление!!!!
кассир-параноик боится собственной тени. В кассы банках при автосалонах клиенты вносят стоимость авто наличными, даже больше миллиона, эта операция априори не может быть противозаконной (вдруг у покупателя нет счета в банке? как например у моего папы). Плюс в том что фин.мон физически не может её заблокировать, да и смысл если он понимает кто продавец, что вам продали и сколько это стоит.
дробления да мониторятся отдельно, я слышал такое из разных источников...
а паспорт скорее всего попросят.
Я не спец по покупка авто, но вроде же после 50 000 должен быть безнал?
Покупал авто в салоне - стоит терминал Привата и насилуешь его немыслимое количество раз + в кассу 49000! Заняло три раза по часу, благо девушка-бухгалтер помогала. Первый раз внёс предоплату, второй раз основную сумму, третий раз доплату при получении авто.
Закрытый ключ КЕП, который выдаёт Приват для физлиц, храниться в контейнере Java. Вот доступом к этому контейнеру и создаётся пароль, который через средства Java можно поменять. Пробовал вытянуть этот закрытый ключ из контейнера, требуется ещё один пароль... Единственное этот пароль какой-то стандартный ибо через M.E.Doc мне получилось КЕП переместить в другой формат, который выдают бизнесу.
На стороне банка хранится открытый ключ КЕП. Но им никак подписать не получится.
Кобейдж-картка – це картка, на якій суміщено технології двох платіжних систем (Простір та UnionPay). Такі картки на території України працюватимуть за правилами й тарифами НПС «Простір», а за її межами – за правилами й тарифами міжнародної платіжної системи UnionPay.
ol_zy написав:походу пароль от сертификата хранится у привата (и наверное не только у него) в открытом виде и не хешируется, возможно это требование налоговой или такой у них стандарт убогий. По идее ваша часть сертификата, есть только у вас. а в банке другая часть, т.е. и одно без другого не работает. Если потеряете сертификат, то банк предлагает только перевыпуск - восстановить старый не могут, может потому и пароль не хешируют.
Я бачу, що Вам складно в логіку, але спробую ще раз. Якщо я забуду пароль, то Прихват мені його нагадає? - Ні. Чи доводить це, що вони його не зберігають? - Ні. Чи гарантує те, що вони не дають повторно завантажити приватний сертифікат, що вони собі не зберігають копію?
І яким взагалі боком податкова до роботи АЦСК Прихвата?
Вообще-то есть стандарты по безопасности. Ключ от привата можно использовать на сайтах гос органов, и вот госорганы могут диктовать свои требования, чтобы ключ от привата к ним подходил. Как правило своя часть сертификата формируется на вашем компе и в банк не передается, когда-то в некоторых банках открытая (общая) часть печаталась и с подписью (печатью) клиента передавалась банку. Когда получал ЭЦП в налоговой, то формировал свою часть ключа и она писалась на флешку, на диске налоговой оставалась только их часть. Я не вдавался в подробности как они шифруют, но думаю на каждой стороне есть своя часть + есть открытая часть + пароль для шифровки передачи или рассчета хеша. И при авторизации передается хеш, который сравнивается с хешем на сервере банка. По хешу банка вы восстановить ключ (сертификат) не сможете, поэтому банк не может восстановить вашу часть. Еще раз - это я пишу как бы оно должно было быть, а как оно есть на самом деле не знаю - не изучал. Поэтому предполагаю, что пароль на ключ и не шифруется и может где-то в банке и храниться. Вообще пароль ключа - это пароль доступа к ключу и он в приват, по идее, не передается, поэтому я и предположил, что утечка происходит на стороне оборудования "500", а не из привата. Вот например, почитайте
Пароль ключа как минимум вводится в приват24 при задаче и как он сверяется с копией на одинаковость я не копал, но то, что у привата есть возможность сохранить пароль в явном виде нет никаких сомнений. Особенно учитывая то, что сам приват24 допиливается напильником прямо на ходу. Проплывали мимо истории, когда сами сотрудники нарывали весьма серьезные дыры, доступные все. В одном случае даже систему засаспендили до ликвидации дыры, когда оказалось, что можно не только чужие профиля произвольно открывать, но и себе счет накручивать. И это не выдумки, к сожалению. Что происходит у банков с меньшим штатом на допиливание -вообще непонятно.
klug написав:
