Платежная система Qiwi рассказала в своем годовом отчете об обнаружении уязвимости, которой воспользовались мошенники. В январе 2014 г. Qiwi зафиксировала на некоторых аккаунтах подозрительную активность по переводу значительных денежных средств с последующим их выводом. Как выяснилось, всего было задействовано 687 аккаунтов пользователей Qiwi. По предположению, обойдя криптографическую систему защиты и получив доступ к аккаунтам, взломщики пополняли счета различных пользователей. После чего, без ведома настоящих владельцев аккаунтов, с них выводились денежные средства. Два наиболее распространенных способа вывода денег из Qiwi - денежный перевод либо перевод на банковскую карту. Учитывая специфики платежной системы, при выполнение этих операций требуется SMS-подтверждение по номеру владельца аккаунта. Как хакерам удалось обойти эту систему, в отчете умалчивается. Как впрочем и о том откуда брались деньги на этих счетах, возможно, к этому были причастны сотрудники самой системы. Не исключаются и случаи мошенничества со стороны персонала компании. По расчетам Qiwi ущерб составил 88 млн руб. Используемая уязвимость, после обнаружения, была ликвидирована, и злоумышленники более не смогут ей воспользоваться, заявили в компании. Что касается владельцев взломанных аккаунтов, то им были возвращены денежные средства в размере, соответствующем сумме остатков на момент, предшествовавший взлому. Персональные данные клиентов при этом не пострадали, заверили в пресс-службе Qiwi. Напомним, что платежная система Qiwi поддерживает программу лояльности поощрения исследователей программного кода Ethic Hack, выплачивая вознаграждения за обнаруженные уязвимости. Сумма вознаграждения зависит от характера уязвимости и составляет от 3 до 150 тыс рублей.
Источник