Privet Bank! · @privet_bank
31st Dec 2010 from Twitlonger
@ilchenko не будьте наивным. Вот о чем сообщалось в #privatbank о #LiqPAY и не поменялось ничего!
Первые пункты из письма от марта 2010 года с http://www.privetbank.com.ua/Dubilet_Letter.html
3.[LiqPAY] Сайт работает без договора оферты. Де-факто все текущие клиенты у которых имеются счета, в договорные отношения не вступали (статья 638 ЦК Украины). Все те, кому не выдали сдачу в кассе не вступали в договор, а было просто обворованы. Отображение операций по учету задолженности перед клиентам LiqPAY в САБ возможно не имеют под собой юридического основания, а значит и отчетность банка которая производиться на их основе также фальсифицирована. Все платежи и комиссионные полученные банком за их совершение — возможно недействительны и деньги подлежат возврату (статья 216 ЦК Украины).
Решение:
а) Договор-оферта обязана быть опубликована.
б) А.Витязь приносит извинения и опровергает недостоверную информацию которую он публично разместил в сети Интернет по адресу http://vityaz.privatblog.com.ua/498487.html
22 Мар 2010, 17:50 “liqpay.com является сервисом приватбанка, на сайте есть соответствующая оферта.”
1.[LiqPAY] Сайт liqpay.com сервиса принадлежит А.Витязю как частному лицу проживающему в Донецке, а не ПАТ КБ Приватбанк. В случае увольнения — сайт уходит вместе с сотрудником. Более того — вся информация на сайте, в случае судебных разбирательств будет требоваться с частного лица и он будет нести полную финансовую ответственность за неполную, недостоверную информацию или в случае потерь денег клиентов сайта или банка.
Решение: Владельцем домена должен быть или ПАТ ПриватБанк или организация которая реально несет ответственность за его работу, а не частное лицо.
2.[LiqPAY] Система СМС авторизации, которая всюду используется на сайтах ПриватБанка — не является 100% надежной и подвержена риску хакерской атаки который называется “Man in the middle”. Изначально, когда в 2002 году А.Витязь получал патент Украины на СМС систему — она использовалась как дополнительная система подтверждения пользователей в добавок к и имени пользователя и паролю. В Приват24 со временем отказались от имени пользователя — используя номер телефона как логин, в LiqPAY же дошло до крайности — отказались и от пароля. Более того, до пятницы 26 марта 2010 года — СМСки с паролем от LiqPAY никоим образом не идентифицировали откуда они (пример «Parol: 94131930 -- Ne peredavayte parol tretemu litsu.» , «Parol: 27025055 -- Do not pass your password to third party.»). После — в сообщениях было добавлено “LiqPAY.com ONLY --”, но это не решает проблемы, поскольку большое количество пользователей, которые ждут какого-то пароля из СМС на фальшивом сайте хакеров, таки его введут.
Суть проблемы — транзакции которые используют такое СМС подтверждение нельзя считать надежными, потому как клиенты на самом деле не изъявляли желания провести операцию код подтверждения от которой они сообщили хакерскому сайту. Как результат — другая сторона — магазины или те, кто принимают LiqPAY не могут верить зачисленным средствам на их счет от системы, из-за риска мошеннических операций, которые не ясно кто будет покрывать.
Все сообщения подтверждающие проблему из корпоративного блога А.Витязь были старательно удалены, оставлены были только те, что содержали нападки на сообщившего об ошибке.
На форуме finance.ua пользователь под ником veronika_2_9 (возможно сотрудник ПриватБанка Слипенко (Кононова) Вероника Евгеньевна) путем обмана и манипуляций пыталась преуменьшить размер проблемы, однако тем самым еще больше дискредитировала банк.
Решение:
а) Система СМС авторизации обязана указывать не только пароль, но и краткое описание что это “Login code for your account from LiqPAY.com website.” , “Payment authorization code for amount XXX on LiqPAY.com website” и т.п.
б) Язык на котором приходят СМСки для логина обязан зависеть не от версии сайта которой клиент пользуется в данный момент, а тот язык какой он укажет один раз в профиле. Суть в том, что если иностранный гражданин получит текст в украинской транслитерации или украинский на английском — это нехорошо, потому как они обязаны понимать от чего же они код передают.
в) Сайт обязан использовать дополнительный статический пароль для логина. Процедура его восстановления должна включать в себе ответы на вопросы, посылку емейла и только потом отправку нового статического пароля как СМС. Делаться это должно для того, чтобы не было возможность запрашивать отсылку СМС с паролем с сайта. К примеру 10 раз в день чтобы не отсылала система пароль магазину, при том при всем что это не магазин, а его недовольный клиент запрашивал на сайте из мести. Восстановление тоже не должно автоматически слать СМС, только после операций которые подтверждают адекватность запроса.
г) А.Витязь приносит извинения и опровергает недостоверную информацию которую он разместил к публичному ознакомлению в сети Интернет по адресу http://vityaz.privatblog.com.ua/498487.html
22 Мар 2010, 18:22 “2) ваше эссе по "безопасТности" оставлю без комментариев - очень наивно”