При цитировании информации активная гиперссылка на evo-rus.com обязательна.

В одном из кредитных учреждений выявлен факт переводов по СБП через уязвимость, связанную с открытым API-интерфейсом. Мошенникам удалось подменять счета отправителя, что стало первым зафиксированным случаем хакерской атаки путем СБП.
Злоумышленник через уязвимость получил данные счетов клиентов. После запуска мобильного приложения в режиме отладки он авторизовался как реальный клиент и отправил запрос на перевод денег в другой банк.
Перед совершением перевода он вместо своего счета отправителя указал счет другого клиента этого банка. В СБП без проверки поступила команда на перевод средств.
Таким способом мошенники отправляли себе средства с чужих счетов.