___

Мошенники добрались до СБП . Выявлен первый случай хищения. При установке в мобильном банке одной из кредитных организаций возможности переводов по СБП была оставлена уязвимость, связанная с открытым API-интерфейсом. Так, злоумышленники через такую уязвимость получили данные счетов клиентов. Затем запустили мобильное приложение в режиме отладки, авторизовавшись как реальный клиент, отправили запрос на перевод средств в другой банк, но перед совершением перевода вместо своего счета отправителя средств указали номер счета другого клиента этого банка. ДБО , не проверив, принадлежит ли указанный счет отправителю, направило в СБП команду на перевод средств, который она и осуществила. Так мошенники отправляли себе деньги с чужих счетов. Уязвимость настолько специфическая, что обнаружить ее случайно просто невозможно. Получается, что в мошенничестве замешаны либо разработчики, либо те, кто тестировал систему.@BlackAudit