Atak był skuteczny, ale nie wymagał prawie żadnej wiedzy technicznej. Adres URL przy wejściu na amerykański serwis Citigroup zawierał numer konta, a system nie sprawdzał czy konto wyświetlane jest kontem zautoryzowanego z danej przeglądarki użytkownika - wystarczyło zgadnąć inny numer konta i podmienić go w adresie wyświetlanej strony.
Włamywacze uzyskali w ten sposób dostęp do ponad trzystu tysięcy kont, z których następnie wyprowadzili około 2,7 miliona dolarów. Pieniądze pochodziły z mniej niż 1% kont na które dostali się przestępcy. Bank zobowiązał się pokryć straty swoich klientów.
[za CNN Money ]
