Tesco Bank ignored warning signs that its vulnerable software was being targeted by cyber criminals for months before thousands of its customers had money stolen a week ago,
according to internet security experts.

The cyber attack on Tesco Bank forced the company to repay £2.5m of losses to 9,000 customers in a heist described as unprecedented by regulators. It is being investigated by
several authorities, including the National Crime Agency.

The financial offshoot of the UK’s largest supermarket group has not said how the money was stolen. However, two cyber security specialists told the Financial Times that Tesco was
targeted by hackers and had weaknesses in its mobile apps months before the large­scale attack took place.

CyberInt, an Israeli company that analyses online data, said it had found evidence that Tesco Bank customers’ current accounts, savings accounts and credit card details were being
traded on the dark web ­ the unsearchable part of the internet used mainly by criminals.

Separately, mobile app testing firm Codified Security said its researchers found a number of vulnerabilities in the apps of both Tesco and Tesco Bank this year, but its attempts to
inform the company were either rebuffed or ignored.

“The number of times that we tried to reach out to Tesco and got no response is quite shocking,” said Martin Alderson, chief executive of Codified Security. “I think it speaks volumes
as to how seriously they take the security of their company.”

Tesco Bank said it received “lots of offers of support from consultants all the time” but it had “a first­class team working around the clock”.

The money was stolen by a criminal gang purchasing thousands of low­priced goods using contactless mobile phone payments at retailers in the US and Brazil, including Best Buy,
according to The Sunday Times.

Elad Ben Meir, vice­president of CyberInt, said some of the supermarket group’s sites allowed unlimited login attempts from the same IP address, making them easier to hack.

In one dark web chatroom conversation a month ago seen by the FT, a hacker referred to Tesco Bank as a “money machine” and asked for someone to partner up to help “crack Tesco
accounts” and make “serious money”.

Using the alias Tunnel, the hacker said: “I used to cash them out. I was easily making £1,000 a week, man.”

 

Martin Arnold ­

Nigeria's leading finance and market intelligence news report. Also home to expert opinion and commentary on politics, sports, lifestyle, and more

Join BusinessDay whatsapp Channel, to stay up to date

Open In Whatsapp