Ранее мы сообщали, что Центральный банк временно приостановил P2P-операции партнёра сервиса Humans — Octagram и начал проверку на фоне обращений о несанкционированных списаниях денежных средств.
Пользователи соцсетей сообщили, что с некоторых банковских карт, привязанных к приложению Humans, списывали деньги без их ведома. Некоторые утверждают, что с их карт списали до 20–30 млн сумов. Зафиксированы также случаи, когда деньги списывались до нулевого баланса.
В АО «Humans Сompanies» прокомментировали произошедшее.
Сообщается, что в период с 4 по 8 декабря часть пользователей Humans пострадала от двух волн мошеннических списаний по банковским картам. Уязвимость, позволившая злоумышленникам выполнять несанкционированные списания, находилась в техническом контуре партнера Humans — платежного сервиса Paylov, правообладателем которого является АО «OCTAGRAM».
Humans передала полный комплект технических материалов регулятору и правоохранительным органам для расследования уязвимости в инфраструктуре Paylov и установления злоумышленников.
Урегулирование вопросов возврата средств пострадавшим клиентам будет осуществляться в соответствии с требованиями законодательства.
В компании считают, что единственно приемлемой моделью разрешения данного инцидента является полная и прозрачная компенсация ущерба пострадавшим клиентам в рамках процедур, предусмотренных законом.
«Все фродовые операции проводились вне взаимодействия с приложением Humans, без участия клиентов и без ввода OTP-кодов. Злоумышленники направляли машинные запросы напрямую в API Paylov и могли инициировать списания благодаря доступу к токенам карт и ключам, за которые отвечает Paylov.
После первой волны фрода Paylov не принял достаточных мер по ограничению доступа, в том числе не заблокировал неавторизованные IP-адреса, откуда приходили запросы. Это привело к повторной атаке. Фродовые транзакции затронули не только клиентов Humans, часть операций была совершена по картам пользователей других платёжных организаций», – рассказали в компании.
В настоящее время временно приостановлены P2P-переводы через сервис Paylov в приложении Humans. Ограничения касаются исключительно P2P-переводов, поскольку именно этот функционал использует инфраструктуру Paylov, где и была обнаружена уязвимость.
«Все остальные сервисы HUMANS, включая услуги сотовой связи, товарный маркетплейс HUMANS Market, сервис доставки продуктов с базаров HUMANS Yaxshi и другие функции работают в штатном режиме», – подчеркнули в компании.
Комментарии