Экспертно-аналитический центр Банка России, ФинЦЕРТ, информирует об обнаружении уязвимости в сервисе «Система быстрых платежей». Бюллетень с описанием проблемы и схемой хищения был разослан на минувшей неделе в банковские структуры страны. Известно, что причина кроется в уязвимости программного обеспечения, которой воспользовались злоумышленники.

Схема кражи денег следующая. Неустановленное лицо получило данные счетов реальных клиентов. Затем, запустив приложение со смартфона в режиме отладки, он авторизовался под логином реального клиента и совершил перевод, успев подменить свой счет отправителя чужим. В результате была совершена транзакция, которую система дистанционного обслуживания не только подтвердила, но и сообщила Системе быстрых платежей о законности действий.

Система быстрых платежей обнаружена уязвимость

 

— По нашей информации, в настоящее время проблема уже устранена и потерпевшим вернули все средства, а Система быстрых платежей стала еще более защищенной. Но стоит отметить: злоумышленники не только могут подменить данные в мобильном приложении, но и владеют данными счетов реальных клиентов. Поэтому банку стоит пересмотреть программное обеспечение и провести внутреннее расследование на предмет утечки персональных данных, — говорит руководитель ООО «ЧОП «Президент» Михаил Кушнаренко.

Интересен еще один момент. «Коммерсантъ» приводит слова источника в одном из крупных федеральных банков, который убежден: уязвимость была на удивление специфичной, и о ней мог знать либо разработчик ПО, либо тестировщик. Посторонний человек — сколь бы сильным хакером ни был — не сумел бы о ней догадаться.