Средства с карт «Кукуруза» были похищены путём подстановки учётных данных.
С начала мая на Banki.ru появляются жалобы держателей «Кукурузы» на пропажу средств. Пользователи стали жертвами хакеров, воспользовавшихся ранее скомпрометироваными учетными данными (атака с подстановкой учетных данных или «credential stuffing»). Преступники взломали другой сервис – в котором хранилась информация держателей карт.
Пострадавшим приходили SMS о подключении карты к Apple Pay, после хранящиеся на ней деньги выводились на номер Tele2. Уведомления с кодом подтверждения для подключения Apple Pay при этом никто из жертв не получал. «Связной/Евросеть» заявляет, что от действий злоумышленников пострадали 80 человек. Ущерб на данный момент оценивается в миллионы рублей.
Причиной инцидентов является не только утечка учетных данных, но и возможность подключения услуги Apple Pay в мобильном приложении «Кукуруза» без подтверждения операции.
РНКО «Платежный центр» уверяет, что ни его системы, ни системы партнеров взломаны не были, а киберпреступники атаковали не связанный с организацией (и пока неназванный) социальный сервис.