Humans обвинил Paylov в уязвимости, которая привела к краже денег
Компания Humans прокомментировала серию несанкционированных списаний с банковских карт пользователей, привязанных к ее приложению.
По данным компании, причиной инцидента стала уязвимость в техническом контуре платежного сервиса Paylov, который принадлежит АО «Octagram».
«В период с 4 по 8 декабря 2025 года часть пользователей Humans пострадала от двух волн мошеннических списаний по банковским картам. Уязвимость, позволившая злоумышленникам выполнять несанкционированные списания, находилась в техническом контуре партнера Humans – платежного сервиса Paylov, правообладателем которого является Octagram», – говорится в сообщении.
Как уточняет компания, злоумышленники направляли машинные запросы напрямую в API Paylov, получая возможность списывать деньги благодаря доступу к токенам карт и ключам, находящимся под ответственностью платежного сервиса. Операции проводились без участия клиентов и без ввода OTP-кодов.
После первой волны Paylov не принял достаточных мер для блокировки неавторизованных IP-адресов, что привело к повторной атаке. Фродовые операции затронули не только клиентов Humans, но и пользователей других платежных организаций, использующих инфраструктуру Paylov.
Humans передал полный комплект технических материалов регулятору и правоохранительным органам. Компания заявила, что вопросы компенсации пострадавшим будут решаться в соответствии с законодательством.
В связи с инцидентом приостановлены P2P-переводы через Paylov в приложении Humans. Ограничение касается только этого функционала – остальные сервисы, включая мобильную связь, работают в штатном режиме.
Ранее Центральный банк Узбекистана подтвердил, что утром 8 декабря начал получать обращения граждан о несанкционированных списаниях. Регулятор связался с Paylov и распорядился приостановить P2P-операции для устранения возможной уязвимости. 10 апреля 2025 года Humans и Paylov заключили договор, согласно которому Paylov оказывал платежные услуги в качестве агента.