Minął ponad tydzień od jednego z najpoważniejszych elektronicznych włamań do banku w historii. Dokładne przyczyny kłopotów Tesco Banku wciąż nie są znane, ale wiele wskazuje na to, że słabym ogniwem okazała się aplikacja mobilna brytyjskiej sieci. Co gorsza, bank prawdopodobnie zignorował ostrzeżenia o lukach w zabezpieczeniach.
Kłopoty finansowej odnogi brytyjskiej sieci handlowej zaczęły się w zeszły weekend, kiedy to z rachunków klientów zaczęły znikać niewielkie kwoty pieniędzy. Zaraz po incydencie szacowano, że dotknął on 40 tys. klientów, później rozmiary strat okazały się znacznie mniejsze – nieautoryzowane transakcje odnotowało 9 tys. użytkowników Tesco Banku.
Bank zareagował niekonwencjonalnie, czasowo blokując transakcje dokonywane online. Stosunkowo szybko jednak zrezygnowano z nadzwyczajnych obostrzeń, a już w poniedziałek przedstawiciele banku informowali, że zidentyfikowali źródło problemów. Straty wynikające z elektronicznego włamania wyniosły 2,5 mln funtów. Bank zdecydował się zwrócić klientom pieniądze, nie czekając na wyniki dochodzenia.
Zobacz także
Od czasu włamania nie milkną spekulacje dotyczące scenariusza ataku na Tesco Bank. Sama instytucja nie rozwiewa wątpliwości, zasłaniając się dobrem prowadzonego śledztwa. Najnowsze tropy wskazuje „The Financial Times”. Specjaliści z izraelskiej firmy CyberInt wskazują, że dane klientów instytucji były sprzedawane na podziemnych internetowych rynkach. Firma natrafiła również na ślady doniesień na przestępczych forach dyskusyjnych o osobie pracującej dla Tesco i gotowej udostępnić bazę danych użytkowników firmy.
Z kolei badacze z firmy Codified Security twierdzą, że odkryli szereg luk w zabezpieczeniach bankowości mobilnej Tesco Banku. Specjaliści wskazują, że kontaktowali się z bankiem, próbując poinformować go o niebezpieczeństwie, ale ich wysiłki zostały zignorowane. Warto przypomnieć, że na podobny problem, czyli ignorowanie doniesień o problemach w zabezpieczeniach, natrafili polscy badacze z firmy PGS Software. Z opublikowanego w zeszłym tygodniu raportu wynika, że banki nie mają przygotowanych procedur przyjmowania zgłoszeń o błędach w aplikacjach, a niektóre instytucje nie odpowiedziały na informacje wskazujące słabe punkty w zabezpieczeniach aplikacji mobilnych.
