«Кто же виноват?» Humans и Paylov обвиняют друг друга в несанкционированном списании денег
В выходные дни в финансовом секторе Узбекистана разгорелся скандал: с банковских карт, привязанных к приложению Humans, стали списываться деньги без разрешения пользователей.
На данный момент стороны конфликта обвиняют друг друга в мошенничестве.
Humans утверждает, что причиной произошедшего стала уязвимость в системе их партнёра Paylov (Octagram), в то время как Paylov настаивает, что его инфраструктура полностью безопасна и вся ответственность лежит на Humans, которые не смогли защитить зашифрованные ключи доступа.
В выходные в социальных сетях распространились сообщения о том, что с привязанных к приложению Humans банковских карт происходят несанкционированные списания. Центральный банк Узбекистана официально прокомментировал ситуацию, отметив, что по состоянию на 9 декабря P2P-переводы через Humans временно приостановлены, а по факту инцидента начата проверка.
После заявления регулятора взаимные комментарии Humans и платёжного сервиса Paylov приобрели ещё более интересный характер. Humans заявляет, что сбой произошёл в системе Paylov, а Paylov в ответ обвиняет Humans в том, что они не смогли защитить зашифрованные API-ключи.
Заявление Humans: «Уязвимость была у партнёра»
Первыми официальное заявление сделали представители Humans. По их словам, причиной несанкционированных списаний стала уязвимость в технической системе платёжного сервиса Paylov, принадлежащего АО «Octagram», партнёра Humans.
«С 4 по 8 декабря 2025 года часть пользователей Humans подверглась двухволновой мошеннической атаке через их банковские карты. Уязвимость, позволившая мошенникам списывать средства без разрешения, находилась в технической системе платёжного сервиса Paylov, правообладателем которого является АО “Octagram”», — говорится в заявлении.
Humans сообщает, что предоставил регулятору (Центральному банку) и правоохранительным органам полный пакет технических материалов «для проверки уязвимостей инфраструктуры Paylov и выявления преступников».
Также компания сообщила:
«Вопрос возврата средств пострадавшим будет решён в соответствии с требованиями закона. Humans считает единственно правильным путём — полное и прозрачное возмещение ущерба клиентам».
Humans также раскрыл технические детали:
«Все мошеннические операции были совершены без участия приложения Humans, без участия клиентов и без ввода OTP-кодов. Мошенники отправляли машинные запросы напрямую в API Paylov и, получив доступ к токенам карт и ключам, за которые отвечает Paylov, смогли списывать деньги. После первой волны мошенничества Paylov не предпринял достаточных мер по ограничению доступа, в том числе не заблокировал несанкционированные IP-адреса, откуда приходили запросы. Это привело к повторной атаке».
Кроме того, Humans заявляет, что мошеннические действия затронули не только их пользователей: часть атак проводилась через карты пользователей других платёжных сервисов, работающих с Paylov.
Компания подчеркнула, что прекращение P2P-переводов в приложении Humans связано только с этим функционалом, «поскольку именно он использует инфраструктуру Paylov, где и была выявлена уязвимость». Остальные услуги — мобильная связь, маркетплейс, доставка товаров и др. — работают в штатном режиме.
Ответ Octagram (Paylov): «Уязвимости у нас нет, ключи были у Humans»
АО «Octagram» (бренд Paylov) решительно отвергло обвинения в том, что мошеннические транзакции стали возможны из-за уязвимости в их системе.
Компания привела следующую хронологию:
- 6 декабря сотрудники Paylov сообщили ответственным лицам Humans Companies о подозрительных транзакциях и временно остановили операции.
- 7 декабря Humans Companies направили Octagram официальное письмо, где заявили, что необходимые меры приняты и мошенничество остановлено. На основании этого письма Humans попросил возобновить операции.
- 8 декабря Paylov приостановил все платёжные услуги, выполняемые через приложение Humans.
В своём заявлении Octagram отмечает:
«Сообщаем, что никакой технической уязвимости со стороны Octagram не было. Все необходимые меры безопасности были приняты. Мошеннические операции были совершены с использованием зашифрованных ключей, предоставленных Octagram компании Humans. Ответственность за правильное и безопасное хранение этих ключей лежит на Humans Companies».
Компания также добавила, что, в отличие от заявления Humans, у остальных партнёров Paylov никаких проблем не возникло.
Сейчас проводится оперативная проверка, и Octagram предоставляет все необходимые данные компетентным органам. Представители сервиса сообщили, что после завершения проверки будет опубликована дополнительная официальная информация, а также при необходимости будут направлены обращения в правоохранительные органы.
