Атаки с подстановкой учетных данных и уязвимость в приложении позволили киберпреступникам похитить средства с карт «Кукуруза».
Со 2 мая на сайте Banki.ru начали появляться жалобы держателей карт «Кукуруза» на пропажу денежных средств. Как сообщает «КоммерсантЪ», пользователи стали жертвами киберпреступников, воспользовавшихся ранее утекшими учетными данными (так называемая атака с подстановкой учетных данных или credential stuffing). По данным источника издания, злоумышленники взломали другой сервис, в котором хранилась информация держателей карт «Кукуруза».
Как сообщают пострадавшие, им пришло неожиданное SMS-сообщение о подключении карты к Apple Pay, после чего хранящиеся на ней деньги были выведены на номер Теле2. При этом какого-либо уведомления с кодом подтверждения для подключения Apple Pay они не получали.
По словам жертв, причиной инцидентов является не только утечка учетных данных, но и возможность подключения услуги Apple Pay в мобильном приложении «Кукуруза» без подтверждения операции. Ущерб от атак может достигать миллионов рублей, сообщил источник.
Как отмечают в компании «Связной/Евросеть», от действий злоумышленников пострадали 80 человек. РНКО «Платежный центр» уверяет, что ни его системы, ни системы партнеров взломаны не были, а киберпреступники атаковали не связанный с организацией социальный сервис. Название сервиса пока не раскрывается.
Карта «Кукуруза» – многофункциональная бонусная платежная карта от компании «Связной/Евросеть». Карта работает в платежной системе Mastercard, а ее эмитентом является РНКО «Платежный центр».