Це виявили журналісти групи розслідувань STRG_F (NDR/funk). Кіберзлочинці знайшли лазівку в системі безпеки Payback. Програма є однією з найбільших бонусних програм у Німеччині. Він дозволяє зловмисникам зламати облікові записи користувачів, які не активували двофакторну аутентифікацію (2FA).
Чому користувачі без двофакторного захисту вразливі?
У багатьох сервісах двофакторна аутентифікація є обов’язковою вимогою. Але в Payback це залишається добровільним. Саме цим активно користуються злочинці.
Коли хакери успішно входять в систему, вони не тільки отримують бонусні бали, але й персональні дані власника – адреса, ім'я, дата народження. Ця інформація продається на чорному ринку у вигляді готових «рахунків окупності».
Потім покупці переводять бонуси або використовують їх для безкоштовних покупок у партнерів програми, таких як REWE, dm, Aral або Penny.
Уразливість у додатку для iPhone: не працює CAPTCHA
Веб-сайт Payback захищений від спроб автоматичного входу – CAPTCHA. Якщо ви кілька разів введете неправильний пароль, система запропонує пройти тест із зображеннями (наприклад, вибрати фотографії автобусів чи світлофорів).
Однак, як з'ясували журналісти, Це правило не поширюється на вхід через програму iPhone.. Хакери просто імітують вхід з телефону, а захист не працює. У результаті десятки тисяч облікових записів можна перевірити за лічені хвилини. Система Payback навіть не реєструє цю діяльність як підозрілу.
Що робить хакерське програмне забезпечення після злому?
Після успішного входу програма автоматично зчитує дані користувача.
Які дані отримують злочинці:
- кількість накопичених бонусних балів;
- ПІБ та адреса власника рахунку;
- інформація про покупки та бонусні операції;
- ідентифікатори облікових записів.
Ці дані дозволяють зловмисникам повністю контролювати чужий обліковий запис. Надалі вони або витрачають бонуси самі, або перепродають доступ іншим користувачам.
Звідки беруться вкрадені паролі?
Основним джерелом інформації є так звані комболісти, тобто бази даних із мільйонами комбінацій електронної пошти та пароля. Ці списки з’являються після великих витоків даних від різних компаній або в результаті фішингових атак, коли люди вводять свої дані на підроблених сайтах.
Журналісти STRG_F знайшли на одному з форумів доступ до бази даних, яка містить кілька мільйонів німецьких облікових записів. Багато з них могли використовувати однакові паролі для різних служб, включаючи Payback.
Відповідь Payback: «Безпека клієнтів у пріоритеті»
Payback заявив, що безпека даних клієнтів є “найвищий пріоритет”. Представник сказав, що використовується “сучасна архітектура безпеки” який відстежує підозрілу діяльність.
Одночасно Payback визнає, що двофакторна аутентифікація покращує безпекуі рекомендував усім користувачам увімкнути цю функцію.
Приклад REWE: як 2FA зупиняла атаки
Для порівняння: велика торгова мережа REWE, яка також використовує систему бонусів, у серпні запровадила обов’язкову двофакторну аутентифікацію. РРаніше були масові зломи платформи, але після оновлення системи атаки більше не фіксуються.
Таким чином, експерти STRG_F підкреслюють: якщо Payback введе подібну вимогу, кіберзлочинці втратять інтерес до цієї платформи.
Як захистити свій обліковий запис
Щоб не стати жертвою кібератаки, експерти радять дотримуватися кількох простих правил.
Поради щодо безпеки окупності:
- використовувати унікальні паролі для кожного сервісу;
- включити двофакторну аутентифікацію (2FA);
- не переходьте за посиланнями з підозрілих листів;
- перевірити адресу сайту перед введенням даних;
- регулярно оновлюйте свій пароль.
Чому важливо діяти зараз
Програма Payback використовується мільйонами жителів Німеччини для накопичення бонусів у супермаркетах, аптеках і на АЗС. Втрата навіть невеликої кількості балів може означати витік персональних данихщо набагато небезпечніше, ніж самі бонуси.
Поки компанія не усуне вразливість, єдиним надійним методом захисту є двофакторна аутентифікація.
