Нацбанк увидел в истории с О!плати мошенничество, но это не точно

Помните материал про то, как dev.by тестировал приложение О!Плати и выяснил, что оно пропускает платежи с неправильными CVV и 3D Secure? После его выхода банк-эквайер Белинвестбанк пообещал нам подготовить «официальный ответ» (разработчик — компания  LWO — ничего не обещала). Мы его ждали, но не дождались: как выяснилось из общения с пресс-службой, подготовленный ответ ушёл в Нацбанк.

Почему «Белинвестбанк» нам его не продублировал, мы толком не поняли: возможно, потому что мы не предоставили ФИО читателя, которые запросила пресс-служба. Почему банк стал отвечать финансовому регулятору, тоже непонятно. Очевидно, после публикации в Белинвестбанк пришёл некий запрос. 

7 комментариев

Помните материал про то, как dev.by тестировал приложение О!Плати и выяснил, что оно пропускает платежи с неправильными CVV и 3D Secure? После его выхода банк-эквайер Белинвестбанк пообещал нам подготовить «официальный ответ» (разработчик — компания  LWO — ничего не обещала). Мы его ждали, но не дождались: как выяснилось из общения с пресс-службой, подготовленный ответ ушёл в Нацбанк.

Почему «Белинвестбанк» нам его не продублировал, мы толком не поняли: возможно, потому что мы не предоставили ФИО читателя, которые запросила пресс-служба. Почему банк стал отвечать финансовому регулятору, тоже непонятно. Очевидно, после публикации в Белинвестбанк пришёл некий запрос. 

Важно! Сразу после публикации разработчик стал исправлять обнародованные «баги». Буквально через день в Support chat приложения посыпались жалобы от пользователей, которые не могли пополнить счёт с карт других банков, так как у них не была подключена функция 3D Secure. Проблемы возникали и у тех, кто вводил смс-код, но это детали: главное, что компания-разработчик сразу стала внедрять защиту. Как и было обещано обеспокоенному нашей публикацией пользователю:

Что касается отсутствия верификации CVV/СVC, этот пробел тоже вскоре устранили. Примерно через неделю после публикации dev.by снова потестил приложение и выяснил: платежи с «липовыми CVV» больше не проходят, 3D Secure работает. Хотели сразу сделать позитивную заметку, но решили дождаться комментария банка-эквайера. 

Когда узнали, что ответ, минуя dev.by, ушёл в Нацбанк, обратились туда с вопросом, что думает регулятор об описанной ситуации. И было ли какое-то влияние Нацбанка на исправление работы приложения?

Пришёл такой ответ:

«Сервис «Оплати» функционирует с использованием электронных денег. Банк-эмитент электронных денег в соответствии с Правилами осуществления операций с электронными деньгами (постановление Правления НБРБ от 26 ноября 2003 г. N 201) направляет в НБРБ правила работы данного сервиса (при создании и при внесении изменений). Анализ данных правил показал их соответствие требованиям, установленным НБРБ. При поступлении в НБРБ обращения в банк-эмитент электронных денег «Оплати» был направлен соответствующий запрос.

По результатам рассмотрения представленной банком информации можно сделать вывод о том, что операции пополнения электронных кошельков с использованием банковских платёжных карточек (далее — БПК) третьих лиц, описанные в обращении, в соответствии с Инструкцией о порядке совершения операций с банковскими платежными карточками, утвержденной постановлением Правления Национального банка Республики Беларусь от 18.01.2013 № 34 (в ред. постановления Правления Национального банка Республики Беларусь от 18 мая 2020 г. № 155) (далее — Инструкция 34), рассматриваются Банком как операции, не санкционированные держателем БПК. Следовательно, в описываемых в обращении действиях можно усматривать заведомо мошеннические действия по отношению к держателю БПК, так как, согласно Инструкции, её использование должно осуществляться только держателем БПК.

При регистрации электронного кошелька пользователь проходит идентификацию в соответствии с законодательством и локальными правовыми актами банка-эмитента электронных денег «Оплати», следовательно, данный банк-эмитент идентифицирует клиента, зарегистрировавшегося в приложении. Далее, если клиент пытается пополнить свой кошелёк с БПК, эмитированной данным банком, то проверка CVC/CVV не требуется, в связи с чем передача информации со значением CVC/CVV в авторизационном запросе не производится. 

Настройки обработки авторизационных запросов производятся как на стороне банка-эмитента БПК, так и на стороне банка-эквайера. Так как банк-эмитент электронных денег «Оплати» не передаёт значение CVC/CVV, отказывать или одобрять операцию решает банк-эмитент БПК. Учитывая факт обращений клиентов, можно утверждать, что банки-эмитенты БПК произвели соответствующие настройки обработки авторизационных запросов.

НБРБ по результатам анализа информации от банка-эмитента электронных денег «Оплати» была проведена проверка функционирования сервиса, по результатам которой выявлено, что операции пополнения электронного кошелька с использованием БПК, эмитированных банками-резидентами, производятся с применением технологии 3D Secure».

Если вчитаться внимательно, можно сделать такие выводы:

  • банк-эквайер значение CVC/CVV не передавал, а то, что такие платежи проходили, — ответственность банков-эмитентов БПК;
  • 3D Secure на момент проверки Нацбанка уже работала;
  • сама проверка функционала стала результатом некоего обращения в Нацбанк. 

dev.by не удалось выяснить, кто и на что пожаловался в Нацбанк. Это точно были не мы. 

Может, это был наш читатель, который написал dev.by о небезопасной работе приложения? Вряд ли. Ведь в обращениях нужно указывать полное имя, а оно, судя по всему, никому не известно. По крайней мере, в Белинвестбанке всё ещё хотят знать, как зовут нашего читателя. Зачем? Для проверки.

— Если человек признается, что он пытался незаконным образом… — предположили в пресс-службе банка. — Все мы читаем договоры с банками при получении платёжной карты. Если человек пытается провести мошеннические действия, зачем он это делает?

На уточняющий вопрос, хотят ли читателя обвинить в мошенничестве, в пресс-службе ответили отрицательно.

Сравним с ответом Нацбанка: «Следовательно, в описываемых в обращении действиях можно усматривать заведомо мошеннические действия по отношению к держателю БПК, так как, согласно Инструкции, её использование должно осуществляться только держателем БПК».

О чём речь? Вероятно, о том, что, по словам нашего читателя, он пополнял счёт приложения с карты брата. Других версий у нас нет. Из контекста письма следует, что никакого конфликта между братьями из-за платежей нет — возможно, брат в момент операций находился рядом и тоже удивлялся зачислениям с неправильными CVV и без 3D Secure. Не исключено, что брат был придуман читателем, чтобы подчеркнуть риски — проведение платежей возможно и с карт третьих лиц. Мы этого не знаем — нам важно было другое: отсутствие верификации CVC/CVV и 3D Secure, в чём мы убедились сами.

Сейчас самое важное — то, что проблема решена. Помощь «нечестного» читателя оказалась очень кстати.

О!плати — платёжный сервис для мобильных устройств, разработанный компанией LWO в сотрудничестве с Белинвестбанком. В основе лежат электронные деньги, работает с использованием QR-кодов. Приложение позволяет оплачивать проезд в общественном транспорте в регионах Беларуси, платить в подключенных точках продаж, хранить карты лояльности, переводить деньги другим пользователя системы и др. Этим летом сервис стали тестировать в минских маршрутках и троллейбусах, к сентябрю его планируется распространить на весь общественный транспорт Минска.

Хотите сообщить важную новость? Пишите в Телеграм-бот.

А также подписывайтесь на наш Телеграм-канал.

Горячие события

Gismart Online Meetup
9 декабря

Gismart Online Meetup

Минск

Читайте также

35 тысяч долларов — за уязвимость. Министр объявляет багбаунти
35 тысяч долларов — за уязвимость. Министр объявляет багбаунти
35 тысяч долларов — за уязвимость. Министр объявляет багбаунти
1 комментарий
Понятным языком про криптоэкономику: аналитик Currency советует книги и статьи
Понятным языком про криптоэкономику: аналитик Currency советует книги и статьи
Понятным языком про криптоэкономику: аналитик Currency советует книги и статьи
С карточек PM уже оплаченный штраф по 23.34 списали 4 раза
С карточек PM уже оплаченный штраф по 23.34 списали 4 раза
С карточек PM уже оплаченный штраф по 23.34 списали 4 раза
5 комментариев

Обсуждение

Сергей Масленников
Сергей Масленников Software Developer в Республиканское унитарное предприятие почтовой связи «Белпочта» (РУП "Белпочта")
0

Забавно, из это статьи выходит, что такое финансовое ПО Нацбанк РБ ни как не проверяет.

Или я не прав? Коллеги, кто "в теме"?

0

Как я понял, те кто делают такое ПО сбрасывают весь процесс работы в НБ, они смотрят, чтобы там все было ок, а потом проверки только по заявлению.

Www Www
Www Www - в Будзьма!
0

КГК проверяет и выдает crc на lib. По крайней мере так было в Беларусбанке для софта вида КлиентБанк.

0

Так КГК проверяет разово, а потом уже никто ничего не делает, если жалоб нет?

Www Www
Www Www - в Будзьма!
0

Каждый раз, когда вносите изменения в библиотеку (CRC меняется). Проверка занимает 30 дней, если я правильно помню

0

Тогда получается тут вариант один: они не сообщили о том, что внесли изменения, а НБ поэтому и не проверял. Хотя, могли сообщить, а НБ не нашел (не обратил внимание на) эту уязвимость.

Www Www
Www Www - в Будзьма!
0

Вариант народный - они сообщали, но никто никогда не проверяет. Потому что КГК не наказуем и нафиг напрягаться.

Спасибо! 

Получать рассылки dev.by про белорусское ИТ

Что-то пошло не так. Попробуйте позже