В чат-ботах некоторых банков нашли уязвимости, через которые злоумышленники могут украсть деньги пользователей.

Директор по информационной безопасности компании Awillix Александр Герасимов предупредил пользователей, которые прибегают у помощи чат-ботов от банков для проведения финансовых операций. В таких ботах существуют уязвимости, которыми легко воспользоваться.

Специалисты компании провели пентесты (проверки безопасности) чат-ботов в двух российских кредитных организациях. Результаты теста показали одинаковые уязвимости, и можно предположить, что чат-боты других организаций имеют схожие проблемы. Они позволяют получить номер и срок действия карт, а также узнать баланс счета и мобильный телефон клиента.

«Эта информация поможет в совершении дальнейших атак на пользователей, например, с помощью социальной инженерии», — цитируют «Известия» эксперта.

При этом эксперты утверждают, что во время тестов смогли попасть в аккаунт тестового клиента и совершить операцию на перевод денег, то есть деньги могут украсть напрямую.