В Humans объяснили, что массовые случаи несанкционированных списаний средств с банковских карт, привязанных к мобильному приложению, были вызваны технической уязвимостью, которой воспользовались мошенники. Об этом Spot сообщили в пресс-службе компании.
С 4 по 8 декабря часть пользователей Humans пострадала от двух волн мошеннических списаний по банковским картам. В компании пояснили, что уязвимость, позволившая злоумышленникам выполнять несанкционированные списания, находилась в техническом контуре партнера Humans — платежного сервиса Paylov, правообладателем которого является Octagram.
Humans передал полный комплект технических материалов регулятору и правоохранительным органам для расследования уязвимости в инфраструктуре Paylov и установления злоумышленников.
Урегулирование вопросов возврата средств пострадавшим клиентам будет осуществляться в соответствии с требованиями законодательства. Компания считает «единственно приемлемой моделью разрешения данного инцидента» полную и прозрачную компенсацию ущерба пострадавшим клиентам в рамках законных процедур.
«Все фродовые операции проводились вне взаимодействия с приложением Humans, без участия клиентов и без ввода OTP-кодов. Злоумышленники направляли машинные запросы напрямую в API Paylov и могли инициировать списания благодаря доступу к токенам карт и ключам, которые находятся под ответственностью Paylov. После первой волны фрода Paylov не принял достаточных мер по ограничению доступа, в том числе не заблокировал неавторизованные IP-адреса, откуда приходили запросы. Это привело к повторной атаке. Фродовые транзакции затронули не только клиентов Humans, часть операций была совершена по картам пользователей других платежных организаций», — говорится в заявлении.
В связи с данным инцидентом временно приостановлены P2P-переводы через сервис Paylov в приложении Humans. Ограничения касаются исключительно P2P-переводов из-за использования инфраструктуры Paylov, где и была обнаружена уязвимость.
Все остальные сервисы, включая сотовую связь, товарный маркетплейс Humans Market, сервис доставки продуктов с базаров Humans Yaxshi, работают в штатном режиме.
Материал дополняется.
Ранее Spot писал, что платежный сервис Octagram по предписанию Центробанка остановил операции через мобильное приложение Humans.
