Финтехно
@fintexno
Финтехно
Фото:
Финтех Humans в центре крупного скандала на тему безопасности. В соцсетях люди выкладывают скриншоты выписок с банковских карт, где видны многократные несанкционированные списания с пометкой PL Humans P2P H2H до опустошения счёта. Объём потерь — десятки миллионов сумов, более 50 человек столкнулись с проблемой. Официальных комментариев от компании и госорганов на момент публикации нет.
Как описывают проблему медиа и пользователи
Первые массовые списания пользователи начали замечать 8 декабря.
Деньги списываются равными долями с некоторым интервалом времени, в ряде случаев люди теряли 20+ млн сумов (128 тыс. рублей).
У всех пострадавших карты были привязаны к мобильному приложению Humans.
Люди массово пишут в поддержку Humans, получают общие ответы в духе «мы разбираемся» и «возможное воздействие мошенников».
Пострадавшие утверждают, что никому не передавали SMS-коды и не ставили вредоносные приложения.
Спустя какое-то время пользователям пришли SMS с рекомендацией сменить пароль и удалить привязанные карты, а в техподдержке Humans заявили, что «выявлена мошенническая схема: посторонние лица получили доступ к счетам пользователей и совершали операции без их согласия».
Доподлинно не известно, какая именно система скомпрометирована (Humans, связка с банками, внешний партнёр), но факт в том, что точкой концентрации риска выступает именно приложение Humans, куда привязано сразу много карт.
Либо получен несанкционированный доступ к платёжным токенам и реквизитам, которые Humans хранит и использует для P2P («P2P H2H» — очень похоже на «host-to-host»), либо имеет место уязвимость в логике авторизации P2P-операций, при которой транзакции могут проходить без полноценной двухфакторной аутентификации.
Кризис доверия и панику усиливает слабая публичная коммуникация со стороны самого финтеха: когда это закончится, что делать людям и какие шаги предпринимает Humans, чтобы решить проблему и разобраться с последствиями.
Контекст
Humans в Узбекистане — это гибрид мобильного оператора и финтех-сервиса. Приложение объединяет мобильную связь, переводы и платежи,
кэшбэк, выпуск и обслуживание карт Humans Visa.
Проблемы были и раньше. В ноябре этого года СМИ писали, что тысячи клиентов не могут вернуть деньги, хранящиеся на картах Humans Visa, из-за того, что они заморожены. Летом владелец бренда Humans в Узбекистане — Humans Mobile PTE Ltd (Сингапур) — инициировал арбитраж против Республики Узбекистан, требуя компенсацию за действия госорганов; детали спора публично не раскрыты.
Финтехно
Ситуация вокруг массовых несанкционированных списаний с карт в Узбекистане проясняется. С официальной позицией в публичном поле отметились сам финтех Humans, платёжный провайдер Paylov и Нацбанк — стало очень хорошо видно сразу три уровня проблемы: технический, договорно-управленческий и репутационный. И на всех трёх сейчас у каждой стороны есть явные проблемы.
Позиция Humans
Списания шли с 4 по 8 декабря, две волны атак. Уязвимость — на стороне партнёра Paylov (Octagram), а именно: злоумышленники ходили напрямую в API Paylov, использовали токены карт и ключи, находящиеся в контуре Paylov, обходили приложение Humans и ввод OTP-кодов.
После первой волны атак Paylov, по версии Humans, не заблокировал подозрительные IP, что позволило случиться второй волне.
Позиция Paylov / Octagram
Подозрительные транзакции по клиентам Humans они заметили 6 декабря и сами временно приостановили операции, уведомив Humans. 7 декабря Humans официально сообщил, что фрод «локализован», и попросил возобновить транзакции. 8 декабря Octagram полностью остановил сервис через приложение Humans.
Octagram утверждает, что технических уязвимостей в их системе не обнаружено, а мошеннические операции стали возможны из-за использования зашифрованных ключей, за безопасное хранение которых отвечал Humans. У других партнёров Paylov похожих инцидентов нет.
ЦБ Узбекистана
9 декабря приостановил все платёжные услуги Paylov в приложении Humans, остальные операции по Uzcard и Humo через другие приложения работают в штатном режиме. Также Нацбанк начал проверку всех подозрительных транзакций, технических процессов и взаимодействия между Humans и Paylov — результаты будут опубликованы.
Судя по информации в публичном поле, произошедшее — классический риск архитектуры, где пользователь управляет своими финансами через супер-приложение (фронт), а реально все операции проводит внешний процессинг, у которого свои ключи, токены, API и логика лимитов. И с точки зрения зрелости финтеха это провал не только технологий или конкретных компаний, но и регулирования.
Если техническая документация позволяет по-разному трактовать зоны ответственности и правила работы с ключами, а фрод-мониторинг резко не останавливает массовые и очевидно подозрительные списания — это системная проблема.
Финтехно
Позиция Humans
Списания шли с 4 по 8 декабря, две волны атак. Уязвимость — на стороне партнёра Paylov (Octagram), а именно: злоумышленники ходили напрямую в API Paylov, использовали токены карт и ключи, находящиеся в контуре Paylov, обходили приложение Humans и ввод OTP-кодов.
После первой волны атак Paylov, по версии Humans, не заблокировал подозрительные IP, что позволило случиться второй волне.
Позиция Paylov / Octagram
Подозрительные транзакции по клиентам Humans они заметили 6 декабря и сами временно приостановили операции, уведомив Humans. 7 декабря Humans официально сообщил, что фрод «локализован», и попросил возобновить транзакции. 8 декабря Octagram полностью остановил сервис через приложение Humans.
Octagram утверждает, что технических уязвимостей в их системе не обнаружено, а мошеннические операции стали возможны из-за использования зашифрованных ключей, за безопасное хранение которых отвечал Humans. У других партнёров Paylov похожих инцидентов нет.
ЦБ Узбекистана
9 декабря приостановил все платёжные услуги Paylov в приложении Humans, остальные операции по Uzcard и Humo через другие приложения работают в штатном режиме. Также Нацбанк начал проверку всех подозрительных транзакций, технических процессов и взаимодействия между Humans и Paylov — результаты будут опубликованы.
Обе стороны по сути признают только то, что массовые мошеннические списания по токенизированным картам были, шли без участия клиентов и связаны с взаимодействием Humans и Paylov/Octagram. Ключевые расхождения — по трём вопросам: где именно была уязвимость и контроль над ключами, кто облажался в инцидент-респонсе и кто несёт основную ответственность по факту хищений.
Судя по информации в публичном поле, произошедшее — классический риск архитектуры, где пользователь управляет своими финансами через супер-приложение (фронт), а реально все операции проводит внешний процессинг, у которого свои ключи, токены, API и логика лимитов. И с точки зрения зрелости финтеха это провал не только технологий или конкретных компаний, но и регулирования.
Если техническая документация позволяет по-разному трактовать зоны ответственности и правила работы с ключами, а фрод-мониторинг резко не останавливает массовые и очевидно подозрительные списания — это системная проблема.
Финтехно
75 7.3K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram