Источник:
Около сотни владельцев карт «Кукуруза» пострадали в результате хакерской атаки. Злоумышленники разжились доступом к логинам и паролям от мобильного и интернет-банка подключили Apple Pay и вывели средства, пишет «Коммерсант». Общая сумма ущерба могла составить несколько миллионов рублей.
Жалобы владельцев «Кукурузы» о хищении у них средств стали появляться на сайте Banki.ru начиная со 2 мая. Жертвы атаки получили СМС, что их карта подключена к Apple Pay, сразу после этого были выведены деньги на номер Теле2. Пострадавшие утверждают, что причин хищения две — утечка логинов и паролей, а также возможность подключения в мобильном приложении «Кукурузы» Apple Pay без подтверждения операции СМС или пуш-уведомлением — никто из владельцев карты их не получал.
При атаке применялся метод «смежного взлома» — был атакован сервис, где были данные об обладателях карт, говорит источник, знакомый с ходом расследования инцидента. По его данным, часть паролей совпала и удалось совершить вход, часть была просто похожа и злоумышленникам взлом не удался.
Основные обстоятельства атаки были установлены 6 мая, отмечают в объединенной компании «Связной/Евросеть», которая и предлагает своим клиентам данные мультифункциональные бонусные платежные карты. Были ужесточены параметры мониторинга, начался сброс паролей клиентов, которые были скомпрометированы, была введена обязательная двухфакторная аутентификация на подключение Apple Pay.