Со 2 мая владельцы карт Кукуруза от «Связной/ Евросеть» начали жаловаться, что у них пропали деньги.
Пользователи рассказывали об этом на сайте Banki.ru, указывая на то, что злоумышленники получили доступ к их логинам и паролям от сервиса. Через приложение Кукуруза можно подключить карту к Apple Pay без подтверждения в СМС или push-уведомлении.
Пример жалоб. Владельцы получали СМС только о подключении Apple Pay
Как только хакеры подключали доступ, они выводили деньги на номер Tele2. В итоге было украдено примерно 2 млн рублей.
Хакеры применили метод «смежного взлома» — атаковали сервис с данными о владельцах Кукурузы. Часть паролей совпала и удалось совершить вход, часть была просто похожа и злоумышленникам взлом не удался.
— инсайдер Коммерсанта
6 мая «Связной/Евросеть» устранила уязвимость, ужесточила правила мониторинга, начался сброс паролей клиентов, а также запущена обязательная двухфакторная аутентификация на подключение Apple Pay.
Похищенные деньги компания вернула всем пострадавшим владельцам карт Кукуруза. [Коммерсантъ]
Источник
