Центробанк выявил новый способ хищения средств со счетов клиентов в банке с использованием СБП. При установке в мобильном банке одной из кредитных организаций возможности переводов по СБП была остановлена уязвимость, связанная с открытым API-интерфейсом. Через нее мошенники смогли подменять счета отправителя.

По словам Ярослава Бабина, если хакеры обнаружили уязвимость в приложении кредитной организации, то клиент никак не сможет повлиять на сохранность своих средств. Вся ответственность лежит на банке, разработавшем и выпустившем приложение.

«В данном случае речь идет о весьма типовой уязвимости, связанной с недостаточной авторизацией, которую мы встречали в 37% проанализированных в прошлом году веб-приложений», — сказал эксперт.

Это значит, что любой банк, своевременно анализирующий защищенность своих систем и сервисов, мог бы обнаружить ее раньше, чем это сделали злоумышленники.

«Мы рекомендуем уделять больше внимания анализу защищенности систем, обязательно внедрять методы безопасной разработки, а также анализировать исходный код всех публичных приложений или их обновлений до их публикации, в том числе с использованием автоматизированных инструментов», — заключил специалист.

Источник: ( https://iz.ru/ )