Как ранее писал Spot, с 4 по 8 декабря часть пользователей Humans пострадала от двух волн мошеннических списаний с банковских карт. Компания объяснила инцидент «технической уязвимостью», которая находилась в техническом контуре партнера платежного сервиса Octagram (торговая марка Paylov).
В Octagram отвергли обвинения, выдвинутые со стороны Humans, о якобы «технической уязвимости», из-за которой произошли случаи несанкционированного списания средств.
6 декабря сотрудники Octagram, как сообщается, предупредили ответственных сотрудников Humans Companies о наблюдаемых подозрительных транзакциях, после чего транзакции были временно приостановлены.
7 декабря Humans Companies направило официальное обращение в Octagram, сообщив о принятии соответствующих мер и предотвращении мошеннических операций, и на основании этого письма запросило возобновление операций.
По состоянию на 8 декабря все платежные услуги, предоставляемые Octagram через мобильное приложение Humans, приостановлены.
«Со стороны Octagram отсутствуют какие-либо технические уязвимости, приняты все необходимые технические меры. Мошеннические операции осуществлялись Humans Companies с использованием зашифрованных ключей, предоставленных Octagram за корректное и безопасное хранение которых несет ответственность Humans Companies. Следует отметить, что в системах всех остальных партнеров, использующих технические решения Octagram никаких негативных явлений не наблюдалось», — говорится в заявлении.
Сейчас по данному факту начата оперативная проверка. Octagram предоставляет всю необходимую информацию ответственным органам. По результатам проверки будет предоставлена дополнительная официальная информация и направлено обращение в правоохранительные органы в установленном порядке.
Позиция Humans
С 4 по 8 декабря часть пользователей Humans пострадала от двух волн мошеннических списаний по банковским картам. В компании пояснили, что уязвимость, позволившая злоумышленникам выполнять несанкционированные списания, находилась в техническом контуре партнера Humans — платежного сервиса Paylov, правообладателем которого является Octagram.
Humans передал полный комплект технических материалов регулятору и правоохранительным органам для расследования уязвимости в инфраструктуре Paylov и установления злоумышленников.
Урегулирование вопросов возврата средств пострадавшим клиентам будет осуществляться в соответствии с требованиями законодательства. Компания считает «единственно приемлемой моделью разрешения данного инцидента» полную и прозрачную компенсацию ущерба пострадавшим клиентам в рамках законных процедур.
«Все фродовые операции проводились вне взаимодействия с приложением Humans, без участия клиентов и без ввода OTP-кодов. Злоумышленники направляли машинные запросы напрямую в API Paylov и могли инициировать списания благодаря доступу к токенам карт и ключам, которые находятся под ответственностью Paylov. После первой волны фрода Paylov не принял достаточных мер по ограничению доступа, в том числе не заблокировал неавторизованные IP-адреса, откуда приходили запросы. Это привело к повторной атаке. Фродовые транзакции затронули не только клиентов Humans, часть операций была совершена по картам пользователей других платежных организаций», — говорится в заявлении.
В связи с данным инцидентом временно приостановлены P2P-переводы через сервис Paylov в приложении Humans. Ограничения касаются исключительно P2P-переводов из-за использования инфраструктуры Paylov, где и была обнаружена уязвимость.
Все остальные сервисы, включая сотовую связь, товарный маркетплейс Humans Market, сервис доставки продуктов с базаров Humans Yaxshi, работают в штатном режиме.
Ранее Spot писал, что платежный сервис Octagram по предписанию Центробанка остановил операции через мобильное приложение Humans.
