РБК сообщает, что специалисты ВТБ стали пресекать кражу бонусных баллов клиентов в программе «Мультибонус» через одноимённое приложение.
Как именно возможно украсть бонусы — не сообщается.
Мне кажется, это новость ради новости, что их бонусная программа в текущих условиях кому-то нужна.
Для входа в личный кабинет нужен номер телефона и пароль. Для списания бонусов на товары или авиа/жд билеты нужен смс-код, который действует пару минут.
Если команда ВТБ фиксирует подбор паролей, то это брут, а не кража бонусов.
А если пароль получен, на счету есть бонусы, то как получить смс-код? Социнженерия, звонок клиенту, вот это вот всё?
Или есть/была дыра в приложении в оформлении товаров/билетов без смс-кода?
Тогда это криворукость банка, равно как и слив персональных данных вкладчиков, зафиксированный осенью 2019 года (https://iz.ru/942123/2019-11-11/v-seti-prodaiutsia-5-tys-zapisei-o-klientakh-vtb).
