Злоумышленник с помощью уязвимости в одной из банковских систем получил данные счетов клиентов. Об этом сообщает «Коммерсантъ» со ссылкой на источник знакомый с ситуацией. ФинЦЕРТ разослал на прошлой неделе банкам бюллетень с описанием новой схемы хищения.
Сообщается, что злоумышленник смог запустить мобильное приложение в режиме отладки, авторизовавшись как реальный клиент, а затем отправил запрос на перевод средств в другой банк, но перед совершением перевода вместо своего счета отправителя средств указал номер счета другого клиента этого банка. Система не проверила, принадлежит ли указанный счёт отправителю, и направила команду СБП, которая перевела деньги мошенникам.
Это первый случай хищения средств с использованием Системы быстрых платежей. В бюллетене отмечается, что номера жертв были получены в ходе атаки методов перебора. ЦБ подтвердил факт инцидента.
«Проблема была выявлена в программном обеспечении одного банка и носила краткосрочный характер. Она была оперативно устранена», — ЦБ.
В ЦБ не стали раскрывать названия банка, но отметили, что СБП надежно защищена. По словам одного из источников «Коммерсанта», обнаруженная уязвимость носит специфический характер и случайно её обнаружить было практически невозможно. Это мог быть кто-то внутри банка, разработчик ПО или тестировщик.