Уязвимость, по словам Докукина, есть во всех версиях приложения – для операционных систем iOS, Android и Windows Phone. Суть уязвимости заключается в том, что с помощью первой атаки можно добиться обхода аутентификации, связанной с отправлением на телефон одноразового пароля. После того, как вход в аккаунт оказывается не привязанным к мобильному, необходима вторая атака, позволяющая украсть пароль пользователя. После этого деньги на счету клиента банка оказываются под угрозой.
Если бы приложение отправляло одноразовый пароль на телефон каждый раз при входе в аккаунт, то уязвимость бы не возникла. На деле же пароль высылается только при регистрации, далее вводить его каждый раз при входе в приложение не обязательно. В веб-версии «Приват24» обойти аутентификацию при каждом входе нельзя. Порой это неудобно – каждый раз вводить пароль из СМС, однако уровень безопасности такая мера повышает.
Таким образом, первая атака может заставить разрешить злоумышленнику войти в аккаунт без одноразового пароля, а вторая – с помощью вредоносного ПО или фишинговой системы ворует нужный пароль, что позволяет в итоге залогиниться.
Докукин заявляет, что раскроет подробности уязвимости сразу, как только она будет устранена банком.