Финтехно
@fintexno
Финтех Humans в центре крупного скандала на тему безопасности. В соцсетях люди выкладывают скриншоты выписок с банковских карт, где видны многократные несанкционированные списания с пометкой PL Humans P2P H2H до опустошения счёта. Объём потерь — десятки миллионов сумов, более 50 человек столкнулись с проблемой. Официальных комментариев от компании и госорганов на момент публикации нет.
Как описывают проблему медиа и пользователи
Первые массовые списания пользователи начали замечать 8 декабря.
Деньги списываются равными долями с некоторым интервалом времени, в ряде случаев люди теряли 20+ млн сумов (128 тыс. рублей).
У всех пострадавших карты были привязаны к мобильному приложению Humans.
Люди массово пишут в поддержку Humans, получают общие ответы в духе «мы разбираемся» и «возможное воздействие мошенников».
Пострадавшие утверждают, что никому не передавали SMS-коды и не ставили вредоносные приложения.
Доподлинно не известно, какая именно система скомпрометирована (Humans, связка с банками, внешний партнёр), но факт в том, что точкой концентрации риска выступает именно приложение Humans, куда привязано сразу много карт.
Либо получен несанкционированный доступ к платёжным токенам и реквизитам, которые Humans хранит и использует для P2P («P2P H2H» — очень похоже на «host-to-host»), либо имеет место уязвимость в логике авторизации P2P-операций, при которой транзакции могут проходить без полноценной двухфакторной аутентификации.
Контекст
Humans в Узбекистане — это гибрид мобильного оператора и финтех-сервиса. Приложение объединяет мобильную связь, переводы и платежи,
кэшбэк, выпуск и обслуживание карт Humans Visa.
Проблемы были и раньше. В ноябре этого года СМИ писали, что тысячи клиентов не могут вернуть деньги, хранящиеся на картах Humans Visa, из-за того, что они заморожены. Летом владелец бренда Humans в Узбекистане — Humans Mobile PTE Ltd (Сингапур) — инициировал арбитраж против Республики Узбекистан, требуя компенсацию за действия госорганов; детали спора публично не раскрыты.
Финтехно
Как описывают проблему медиа и пользователи
Первые массовые списания пользователи начали замечать 8 декабря.
Деньги списываются равными долями с некоторым интервалом времени, в ряде случаев люди теряли 20+ млн сумов (128 тыс. рублей).
У всех пострадавших карты были привязаны к мобильному приложению Humans.
Люди массово пишут в поддержку Humans, получают общие ответы в духе «мы разбираемся» и «возможное воздействие мошенников».
Пострадавшие утверждают, что никому не передавали SMS-коды и не ставили вредоносные приложения.
Спустя какое-то время пользователям пришли SMS с рекомендацией сменить пароль и удалить привязанные карты, а в техподдержке Humans заявили, что «выявлена мошенническая схема: посторонние лица получили доступ к счетам пользователей и совершали операции без их согласия».
Доподлинно не известно, какая именно система скомпрометирована (Humans, связка с банками, внешний партнёр), но факт в том, что точкой концентрации риска выступает именно приложение Humans, куда привязано сразу много карт.
Либо получен несанкционированный доступ к платёжным токенам и реквизитам, которые Humans хранит и использует для P2P («P2P H2H» — очень похоже на «host-to-host»), либо имеет место уязвимость в логике авторизации P2P-операций, при которой транзакции могут проходить без полноценной двухфакторной аутентификации.
Кризис доверия и панику усиливает слабая публичная коммуникация со стороны самого финтеха: когда это закончится, что делать людям и какие шаги предпринимает Humans, чтобы решить проблему и разобраться с последствиями.
Контекст
Humans в Узбекистане — это гибрид мобильного оператора и финтех-сервиса. Приложение объединяет мобильную связь, переводы и платежи,
кэшбэк, выпуск и обслуживание карт Humans Visa.
Проблемы были и раньше. В ноябре этого года СМИ писали, что тысячи клиентов не могут вернуть деньги, хранящиеся на картах Humans Visa, из-за того, что они заморожены. Летом владелец бренда Humans в Узбекистане — Humans Mobile PTE Ltd (Сингапур) — инициировал арбитраж против Республики Узбекистан, требуя компенсацию за действия госорганов; детали спора публично не раскрыты.
Финтехно
102 7.4K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram