Майские праздники были долгими и продолжительными. Кто-то недосчитался денег из-за слишком глубокого погружения в отдых, а кто-то из-за того, что пользуется бонусными платёжными картами «Кукуруза».
Как сообщает «КоммерсантЪ», пострадавших не очень много: примерно 80 человек среди 20 млн выпущенных карт «Кукуруза». Преступники имели доступ к картам с 1 по 4 мая.
Как взламывали?
Не очень понятно. «КоммерсантЪ» пишет, что мошенники получили доступ к неназванному сервису, где хранились данные некоторых держателей карт «Кукуруза». Методом подбора преступники вошли в мобильное приложение, обслуживающее эти карты, и подключили их к Apple Pay.
При этом клиенты вообще не имели представления, что кто-то зашёл в их профиль в мобильном банке и привязал карту к Apple Pay — никаких SMS или пушей не было.
Не секьюрно
Самое странное в этой истории — отсутствие двухфакторной аутентификации для подключении карт к платёжной системе. Да, Apple Pay её не требует, но само приложение Wallet рассчитано не только на платёжные карты. И картам всяких магазинов двухфакторная аутентификация не нужна.
При этом представители банка заявляют, что выбирали между удобством использования и безопасностью. Не знаю, о какой сложности идёт речь, когда ввести код из пришедшей SMS — дело пяти секунд. Зато средства оказываются под защитой.
По данным Positive Technologies, у 77 % банков мобильное приложение не защищено двухфакторной аутентификацией.
Реакция
Общая сумма хищения составляет порядка 2 млн рублей. По словам СЕО компании «Связной/Евросеть» Александра Малиса, все похищенные средства уже возвращены клиентам.
Объединённая компания «Связной/Евросеть» обновила приложение мобильного банка и добавила двухфакторную аутентификацию. Также приложение теперь защищено от подбора логина и пароля, а при смене устройства клиенту приходит уведомление.