Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере ЦБ РФ (ФинЦЕРТ) выявил новый способ хищения средств через Систему быстрых платежей (СБП). Это первый случай кражи средств с помощью системы, сообщает «Коммерсантъ».
Злоумышленники воспользовались уязвимостью одной из банковских систем, название которой не раскрывается. Им удалось получить данные счетов клиентов с помощью перебора, используя недокументированные возможности API.
Авторизировавшись как клиенты злоумышленники запустили приложение банка в режиме отладки и отправили запрос на перевод денег на счет в другом банке.
Перед осуществлением перевода вместо счета отправителя они указали номер счета другого клиента этого банка. Система не проверила, кому принадлежит счет, и направила СБП команду о переводе средств.
В Банке России подтвердили наличие проблемы и заявили, что уязвимость устранена. Представители ЦБ подчеркнули, что она не касалась ПО системы и сама СБП надежна.
Напомним, в центробанке https://forklog.com/pandemiya-i-bitk...valyutam-v-rf/, что СБП должна покрыть потребность людей в осуществлении быстрых платежей.
Именно возможностью осуществлять быстрые платежи глава ЦБ РФ Эльвира Набиуллина объясняла популярность и развитие криптовалют.
По https://forklog.com/eksperty-sistema...-bezopasnosti/некоторых опрошенных ForkLog экспертов, СБП и цифровые активы предназначены для совершенно разных задач и не потому могут конкурировать друг с другом.