Позиция компании Humans в связи с инцидентом, связанным с уязвимостью в техническом контуре платежного сервиса Paylov (АО «OCTAGRAM»)

В период с 4 по 8 декабря 2025 года часть пользователей Humans пострадала от двух волн мошеннических списаний по банковским картам. Уязвимость, позволившая злоумышленникам выполнять несанкционированные списания, находилась в техническом контуре партнера Humans — платежного сервиса Paylov, правообладателем которого является Акционерное Общество «OCTAGRAM».

Humans передал полный комплект технических материалов регулятору и правоохранительным органам для расследования уязвимости в инфраструктуре Paylov и установления злоумышленников. Урегулирование вопросов возврата средств пострадавшим клиентам будет осуществляться в соответствии с требованиями законодательства. Humans считает единственно приемлемой моделью разрешения данного инцидента полную и прозрачную компенсацию ущерба пострадавшим клиентам в в рамках предусмотренных законом процедур.

Все фродовые операции проводились вне взаимодействия с приложением Humans, без участия клиентов и без ввода OTP-кодов. Злоумышленники направляли машинные запросы напрямую в API Paylov и могли инициировать списания благодаря доступу к токенам карт и ключам, которые находятся под ответственностью Paylov. После первой волны фрода Paylov не принял достаточных мер по ограничению доступа, в том числе не заблокировал неавторизованные IP-адреса, откуда приходили запросы. Это привело к повторной атаке. Фродовые транзакции затронули не только клиентов Humans, часть операций была совершена по картам пользователей других платежных организаций.