In New York zijn drie mensen gearresteerd omdat zij met behulp van pincodes die zouden zijn gestolen van een Citibank-server honderdduizenden dollars via geldautomaten opgenomen hebben.
De pincodes zouden afkomstig zijn uit een Citibank-server die het betalingsverkeer van geldautomaten afhandelt, en niet via bekende trucs als skimming of social engineering zijn verkregen. Daarmee zou het de eerste zaak in de VS zijn waarbij pincodes via vitale banksystemen in criminele handen zijn gekomen. Onduidelijk is echter of de server of de netwerkinfrastrucuur daadwerkelijk werd gekraakt, of dat de informatie via bijvoorbeeld een bankmedewerker naar buiten is gekomen.
Tegenover Wired ontkent Citibank dat zijn systemen ten prooi zouden zijn gevallen aan hackers, maar uit rechtbankgegevens blijkt dat bankmedewerkers de FBI in februari waarschuwden dat onbekenden toegang zouden hebben gekregen tot een server. Kort daarop werd de 32-jarige Yuriy Ryabinin uit Oekraïne opgepakt. Hij wordt beschuldigd van het veelvuldig illegaal opnemen van geld met behulp van gestolen informatie. De man, die actief zou zijn op diverse carding-fora in Oost Europa, wordt echter niet beschuldigd van het daadwerkelijk inbreken op de computers van Citibank. Ook een 30-jarige vriend en de vrouw van Ryabinin zouden in staat van beschuldiging zijn gesteld wegens het pinnen van enkele geldbedragen en het hinderen van het politieonderzoek.
Volgens de Amerikaanse justitie zou vorig najaar in twee dagen tijd vijf miljoen dollar zijn vergaard met wereldwijd negenduizend al dan niet gelukte transacties bij geldautomaten. Ryabinin zou volgens de aanklacht zelf honderdduizend dollar hebben gepind. Tijdens een inval in zijn woning trof de politie behalve een kaartlezer zevenhonderdduizend dollar in contanten aan. Ook bij zijn collega werd acht ton aan gestolen geld aangetroffen, terwijl zijn vrouw nog een ton in een bankkluis had verstopt.
Hoewel Citibank publiekelijk ontkent dat zijn systemen zijn gekraakt, heeft de bank in de periode dat de criminelen actief waren de daglimiet bij de geldautomaat voor een deel van zijn klanten gehalveerd. Dit zou de bank hebben gedaan omdat er in New York enkele 'geïsoleerde fraudegevallen' zouden zijn voorgevallen, zo liet het bedrijf aan een krant weten. Uit rechtbankverslagen blijkt echter dat Citibank de rekeningen bewust niet zou hebben geblokkeerd, mogelijk in de hoop zo de criminelen in de kraag te kunnen vatten en om de zwakke punten in hun systemen te kunnen vinden. Het is echter mogelijk dat de criminelen geen directe toegang hadden tot de centrale servers van Citibank, maar dat zij wel in staat waren om met 'slim' afluisterwerk langskomende pin-codes en rekeningnummers op het netwerk van de bank te onderscheppen, zo concludeert Wired.