Revolut公司的支付系统存在漏洞,在特定交易环节会错误向用户账户退款,且风控能力不足,该漏洞遭利用数月,直到公司合作银行发出警告才发现问题。
安全内参7月11日消息,多位知情人士透露,英国知名金融科技公司Revolut的美国支付系统在去年爆出漏洞,网络犯罪分子在数月内盗取了该公司超过2000万美元资金(约合人民币1.44亿元),直到Revolut封堵漏洞才停止。
这一事件尚未公开披露,很可能给这家市值高企的金融科技公司带来更多压力。目前,Revolut正在等待英国下发银行牌照,却面临多位高管离职、德豪国际会计师事务所(BDO)出具有保留意见的审计报告等问题。
据三位知情人士透露,该漏洞源自欧美支付系统的差异。具体而言,某些交易被拒绝时,Revolut会错误地向账户退款,将自己的资金交给账户所有人。
虽然Revolut已经追回一部分被盗资金,挽回了大约2300万美元损失,但据这些人士透露,净损失仍然高达2000万美元,相当于Revolut 2021年净利润的三分之二。
该漏洞最早在2021年末零星出现利用情况。随后,有组织的犯罪团伙在2022年初实施了大规模滥用,它们怂恿顾客下单购买昂贵的商品。这些订单将被拒绝,退款可通过自动取款机提现。
这种欺诈行为不会影响顾客账户,而会窃取Revolut自有企业资金。Revolut系统未能发现这些大规模欺诈行为。后来,一家美国合作银行通知Revolut,发现其现金持有量低于预期。直到这时,问题才浮出水面。此后,Revolut的美国子公司要求母公司注入数百万美元现金。资金到位后,该公司经过努力,最终在2022年春季封堵了这个漏洞。
Revolut拒绝对此案发表评论,在其推迟公布的2021年财报中也没有具体披露此次盗窃造成的损失。
两年前,Revolut首次宣布申请英国银行牌照。审批流程通常只需要不到一年时间。然而,两年多过去了,牌照依然未能下发。
2020年,英国金融行为监管局(FCA)下令对Revolut的金融犯罪防范和发现政策进行独立审查。德豪国际会计师事务所警告称,Revolut的收入可能存在“重大错报”,该公司2021年报告收入中有2/3无法证明已经“发生”,且无法通过“完整性”认定。
近几个月,Revolut多位知名高管离职,包括其英国银行首席执行官James Radford和首席财务官Mikko Salovaara。Revolut首席幕僚兼银行产品负责人Joel Kass也将离职。加入Revolut前,Joel Kass在英格兰银行工作了三年,其中一年担任新兴银行监管员。
风险投资公司Molten Ventures和资产管理公司Schroders分别调减了对Revolut的股权估值,降幅分别为40%和46%。Revolut在2021年7月的最后一次外部估值为330亿美元,成为英国最有价值的私营科技集团。这一地位于2022年1月被估值400亿美元的Checkout.com取代。
原文始发于微信公众号(安全内参):知名金融科技公司漏洞遭利用,近1.5亿元资金失窃
评论