Баллы украли, а деньги оставили: у клиентов Почта-банка кто-то списал бонусы за покупки в «Пятерочке»

Судя по всему, злоумышленники нашли уязвимость в системе, или же из банка утекли данные клиентов.

Как мы писали недавно, у Почта-банка (группа ВТБ) и торговой сети «Пятерочка» (X5 Retail Group) есть выпущенная совместно кобрендинговая карта, по которой клиент может получать повышенные баллы за покупки в торговой сети. В данном случае баллы начисляются как на обычных условиях (по программе «Пятерочки»), плюс к ним добавляются баллы от банка. Но, как оказалось, потерять баллы даже проще, чем получить их.

Как стало известно из многочисленных жалоб и отзывов на нескольких сайтах, у клиентов Почта-банка начали массово несанкционированно списываться бонусные баллы. В основном клиенты жалуются, что потеряли бонусов на суммы от 200 до 2 тысяч рублей. Учитывая, что 10 баллов приравниваются к 1 рублю, клиенты потеряли от 2 до 20 тысяч бонусных баллов.

А некоторые пишут о том, что баллы были украдены и не раз: например, у одного из клиентов сначала пропали 9 тысяч баллов (в июле), потом – 2,2 тысячи баллов в августе и еще 9 тысяч баллов уже после перевыпуска карты.

В самом Почта-банке отмечают, что действительно выявили незаконное списание бонусных баллов с некоторых карт «Пятерочка», но случаи не были массовыми, а сейчас сбоя уже нет. Более того, оказалось, что списания с бонусных счетов никак не связаны с банковскими счетами и данными карт. Другими словами, злоумышленники смогли как-то украсть бонусы из «Пятерочки», но не получали доступа к непосредственно банковским счетам клиентов.

Клиентам уже пообещали вернуть все потерянные баллы, а также бесплатно перевыпустить карты, с которых были произведены несанкционированные списания.

Правда, эксперты по информационной безопасности полагают, что злоумышленники смогли получить доступ к данным клиентов, воспользовавшись утечкой данных или найденной уязвимостью. И тот факт, что банк решил перевыпустить карты, тоже указывает на это – если карты не скомпрометированы, перевыпускать их нет смысла (кроме технических причин вроде неработающего чипа).

Кроме того, есть вопросы к тому, как злоумышленники смогли воспользоваться бонусами. Дело в том, что если оплачивать покупку в «Пятерочке» частично деньгами, а частично баллами, нужно подтверждение от клиента в рамках двойной верификации покупки (то есть, сделку проверяет и банк, и магазин), и списать баллы дистанционно так не получится. Если покупка полностью оплачена баллами, то обычно нужно подтверждение платежа со стороны клиента. В Почта-банке используется третий вариант, когда при полной оплате покупки баллами подтверждение не требуется. А это означает, что баллы практически никак не защищены – в отличие от денег на счете.

При этом в Почта-банке заявили, что не планируют как-то менять систему оплаты покупок баллами или вводить дополнительные способы верификации процедуры.