Kingdom Bank стал объектом серьезной критики после киберальертации, позволившей злоумышленникам обойти двухфакторную аутентификацию и вывести из аккаунта более €93,000 в криптовалюте.
Описание инцидента
Клиент, являющийся регулируемой торговой компанией, сообщил, что, несмотря на активированную двухфакторную аутентификацию с помощью Google Authenticator, критические операции, такие как сброс паролей и переводы криптовалюты, были выполнены без подтверждения 2FA. Инцидент начался с компрометации электронной почты, связанной с аккаунтом в Kingdom Bank, что позволило злоумышленнику изменить пароль и инициировать необратимые криптографические транзакции.
Ответные меры и отказ в ответственности
После сообщения о нарушении через службу поддержки, банк не предпринял никаких шагов до вечера пятницы, когда юридический отдел направил ответ, в котором заявил о своей ответственности, ссылаясь на компрометацию электронной почты. Банк решил, что не будет рассматривать дальнейшие претензии. Таким образом, клиент остался без возможности избежать убытков.
Необходимость повышения стандартов безопасности
После инцидента клиент провел собственное расследование, обнаружив, что даже после утечки действия, требующие 2FA, не были реализованы. Это поднимает вопросы о действительно применяемой безопасности в Kingdom Bank. Торговая компания призывает пользователей других платформ проверить защиту своих аккаунтов и предлагает выбирать провайдеров, работающих в регулируемых юрисдикциях.
Случай с Kingdom Bank подчеркивает важность соблюдения протоколов безопасности и полного применения двухфакторной аутентификации для всех критически важных действий.
