Задержали казанца, который присвоил 68 млн рублей, выявив уязвимость в приложении банка

Столь внушительную сумму денег он смог «заработать» в течение 10 дней.

news_top_970_100

На 68 млн рублей стал богаче предприимчивый житель Казани, который воспользовался программной ошибкой  приложения банка. Как сообщили «КВ» в компании Security Lab, злоумышленника уже задержала полиция.

Столь внушительную сумму денег он смог «заработать» в течение 10 дней благодаря манипуляциям с переводом денег с букмекерского счета на свою же заблокированную банковскую карту. Банк, естественно, отклонил операцию, вернул перевод обратно на букмекерский счет, при этом аналогичная сумма появилась на второй карте клиента.

«Таких случаев множество как в России, так и в мире, – рассказал «КВ» главный редактор информационного портала SecurityLab.ru (ресурс Positive Technologies – компании, специализирующейся на разработке решений в сфере информационной безопасности) Александр Антипов. –  Тут произошла логическая ошибка в обработке транзакций, часто подобное можно выявить в процессе аудита, поэтому у потенциального мошенника есть определенный интервал, когда он может оставаться безнаказанным, но все равно он будет пойман».

По словам собеседника, логические ошибки – наиболее сложные в выявлении, потому и самые опасные для банков.

«Они долго могут оставаться незамеченными. Но в большинстве случаев они выявляются раньше, прежде чем ими могут воспользоваться злоумышленники», – отметил Антипов.

Подобные программные ошибки, по словам собеседника, в компаниях уже бывали. В Security Lab напомнили кейс  банка Тинькофф, когда в марте 2022 года клиенты смогли заработать миллионы рублей на разнице курсов, при этом банк уже проиграл несколько судов. Или случай с РЖД, когда предприимчивые клиенты покупали возвратные билеты и возврат делался на другую карту, в результате зарабатывали на бонусах от банка.

«С точки зрения пользователей, очень сложно понять, где грань ошибки. Когда он будет наказан, а когда будет прощен», – сказал он. .

В компании отметили, что выявить  такие ошибки не сложно, если  правильно выстроить процесс в компании.

«Аудит кода, пентесты и главное публичные программы Bug Bounty [ программа, предлагаемая веб-сайтами и разработчиками ПО вознаграждение за нахождение ошибок], которые в последнее время очень популярны в России», – резюмировал собеседник.

news_right_column_240_400