Журналисты телеканала BBC рассказали в программе Watchdog, посвященной защите прав потребителей, о странном случае «мошенничества с едой». Британский сервис доставки еды Deliveroo пострадал от атак злоумышленников, но при этом представители Deliveroo уверяют, что их системы не были скомпрометированы. Судя по всему, хакеры воспользовались проблемой повторного использования паролей, подобрав учтенные данные от аккаунтов пользователей iOS и Android-приложений Deliveroo.

Представители сервиса категорически отрицают возможный взлом и заявляют, что никакие личные данные пользователей и информация об их банковских картах похищены не были:

«Нам известно о проблеме, о которой рассказали в Watchdog, но она касается украденной еды, а не номеров банковских карт. Такая проблема возникает, когда злоумышленники используют пароли, похищенные у других сервисов в ходе массовых утечек данных, которые не имеют никакого отношения к нашей компании».

В передаче Watchdog пострадавшие пользователи рассказали, что узнали о факте мошенничества случайно. Так, Джудит Макфайден (Judith MacFayden) сообщила, что получила благодарственное письмо от Deliveroo, связанное с заказом, которого она никогда не делала. Проверив свой аккаунт, Макфайден обнаружила, что от ее имени минувшим вечером были сделаны сразу четыре заказа, которые были доставлены в разные уголки Лондона. Другой пользователь, сообщил, что с него списали £113,70 (около 9000 рублей) за заказ, которого он не делал. Третий клиент Deliveroo и вовсе обнаружил, что кто-то оформил доставку заказа из TGI Friday, на общую сумму £98 (почти 8000 рублей), в какое-то место, расположенное в 139 километрах от его дома.

Хотя представители Deliveroo заявляют, что это не их вина, ИБ-эксперты убеждены, что это не так. Так, специалисты «Лаборатории Касперского» и F-Secure убеждены, что разработчики компании должны были позаботиться о безопасности пользователей и применять в своих приложениях двухфакторную аутентификацию. Тогда злоумышленники вряд ли смогли бы воспользоваться паролями, почерпнутыми из сторонних источников, для заказа еды.

При этом эксперты не уверены, что неизвестные хакеры вообще заказывали еду для себя, оформив доставку в публичные места, или попросив курьера о встрече возле входа в какое-нибудь здание. Так, аналитики ESET предположили, что данную атаку могли заказать конкуренты, которые пытаются испортить репутацию Deliveroo, или атака вообще осуществлялась изнутри и была местью обиженного сотрудника самой компании. По мнению представителей ESET, в таком случае заказы могли доставить абсолютно случайным людям, в случайные места.

Оставить мнение