Со 2 мая на сайте Banki.ru стали появляться жалобы владельцев бонусных карт «Кукуруза», которые выдает своим клиентам объединенная компания «Связной/Евросеть». Они получили СМС о подключении карты к Apple Pay, сразу после этого деньги вывели на номер Теле2. СМС или пуш-уведомлений с кодом подтверждения для подключения не было, утверждают жертвы.

Деньги удалось остановить, их вернули владельцам. В компании говорят о хищении около двух миллионов рублей. Всего пострадали от 80 до 100 человек.

Владельцы карт сообщили, что причин хищения две. Это утечка логинов и паролей, а также возможность подключения в мобильном приложении «Кукурузы» Apple Pay без подтверждения операции СМС или пуш-уведомлением.

Почему это важно:

Сейчас проблема устранена, но вопросы к уровню безопасности «Кукурузы» остаются, отмечает газета. Работающие с Apple Pay банки предупреждают, что без подтверждения СМС привязывать карту опасно, хотя сервис этого не требует.

Больше половины мобильных банков не защищены от подбора логина и пароля, операции повышенной важности совершаются в приложениях без второго фактора в 77 процентах банков, отмечают эксперты Positive Technologies.

Что еще известно:

Хакеры применили метод «смежного взлома» — они атаковали сервис с данными о владельцах «Кукурузы», рассказал знакомый с ходом расследования источник газеты. Он отметил, что «часть паролей совпала и удалось совершить вход, часть была просто похожа и злоумышленникам взлом не удался».