В банковских чат-ботах обнаружили уязвимости, которые могут позволить мошенникам переводить денежные средства без ведома клиентов. Об этом сообщают “Известия” со ссылкой на компанию Awillix.
Директор по информационной безопасности Awillix Александр Герасимов сообщил, что специалистами были обнаружены схожие логические уязвимости. Они позволяют получить номер и срок действия карт, а также узнать баланс счета и мобильный телефон клиента. По его словам, эта информация поможет в совершении дальнейших атак на пользователей.
Герасимов добавил, что удается даже обойти механизм подтверждения операции: в переписке с чат-ботом приходил код. Уточняется, что аккаунты в мессенджере и на основном сайте банка не связаны между собой. То есть, если мошенник получит доступ к аккаунту пользователя в чат-боте, это не означает, что он получит доступ к основному личному кабинету.