Нацбанк увидел в истории с О!плати мошенничество, но это не точно

Помните материал про то, как dev.by тестировал приложение О!Плати и выяснил, что оно пропускает платежи с неправильными CVV и 3D Secure? После его выхода банк-эквайер Белинвестбанк пообещал нам подготовить «официальный ответ» (разработчик — компания  LWO — ничего не обещала). Мы его ждали, но не дождались: как выяснилось из общения с пресс-службой, подготовленный ответ ушёл в Нацбанк.

Почему «Белинвестбанк» нам его не продублировал, мы толком не поняли: возможно, потому что мы не предоставили ФИО читателя, которые запросила пресс-служба. Почему банк стал отвечать финансовому регулятору, тоже непонятно. Очевидно, после публикации в Белинвестбанк пришёл некий запрос. 

7 комментариев

Помните материал про то, как dev.by тестировал приложение О!Плати и выяснил, что оно пропускает платежи с неправильными CVV и 3D Secure? После его выхода банк-эквайер Белинвестбанк пообещал нам подготовить «официальный ответ» (разработчик — компания  LWO — ничего не обещала). Мы его ждали, но не дождались: как выяснилось из общения с пресс-службой, подготовленный ответ ушёл в Нацбанк.

Почему «Белинвестбанк» нам его не продублировал, мы толком не поняли: возможно, потому что мы не предоставили ФИО читателя, которые запросила пресс-служба. Почему банк стал отвечать финансовому регулятору, тоже непонятно. Очевидно, после публикации в Белинвестбанк пришёл некий запрос. 

Важно! Сразу после публикации разработчик стал исправлять обнародованные «баги». Буквально через день в Support chat приложения посыпались жалобы от пользователей, которые не могли пополнить счёт с карт других банков, так как у них не была подключена функция 3D Secure. Проблемы возникали и у тех, кто вводил смс-код, но это детали: главное, что компания-разработчик сразу стала внедрять защиту. Как и было обещано обеспокоенному нашей публикацией пользователю:

Что касается отсутствия верификации CVV/СVC, этот пробел тоже вскоре устранили. Примерно через неделю после публикации dev.by снова потестил приложение и выяснил: платежи с «липовыми CVV» больше не проходят, 3D Secure работает. Хотели сразу сделать позитивную заметку, но решили дождаться комментария банка-эквайера. 

Когда узнали, что ответ, минуя dev.by, ушёл в Нацбанк, обратились туда с вопросом, что думает регулятор об описанной ситуации. И было ли какое-то влияние Нацбанка на исправление работы приложения?

Пришёл такой ответ:

«Сервис «Оплати» функционирует с использованием электронных денег. Банк-эмитент электронных денег в соответствии с Правилами осуществления операций с электронными деньгами (постановление Правления НБРБ от 26 ноября 2003 г. N 201) направляет в НБРБ правила работы данного сервиса (при создании и при внесении изменений). Анализ данных правил показал их соответствие требованиям, установленным НБРБ. При поступлении в НБРБ обращения в банк-эмитент электронных денег «Оплати» был направлен соответствующий запрос.

По результатам рассмотрения представленной банком информации можно сделать вывод о том, что операции пополнения электронных кошельков с использованием банковских платёжных карточек (далее — БПК) третьих лиц, описанные в обращении, в соответствии с Инструкцией о порядке совершения операций с банковскими платежными карточками, утвержденной постановлением Правления Национального банка Республики Беларусь от 18.01.2013 № 34 (в ред. постановления Правления Национального банка Республики Беларусь от 18 мая 2020 г. № 155) (далее — Инструкция 34), рассматриваются Банком как операции, не санкционированные держателем БПК. Следовательно, в описываемых в обращении действиях можно усматривать заведомо мошеннические действия по отношению к держателю БПК, так как, согласно Инструкции, её использование должно осуществляться только держателем БПК.

При регистрации электронного кошелька пользователь проходит идентификацию в соответствии с законодательством и локальными правовыми актами банка-эмитента электронных денег «Оплати», следовательно, данный банк-эмитент идентифицирует клиента, зарегистрировавшегося в приложении. Далее, если клиент пытается пополнить свой кошелёк с БПК, эмитированной данным банком, то проверка CVC/CVV не требуется, в связи с чем передача информации со значением CVC/CVV в авторизационном запросе не производится. 

Настройки обработки авторизационных запросов производятся как на стороне банка-эмитента БПК, так и на стороне банка-эквайера. Так как банк-эмитент электронных денег «Оплати» не передаёт значение CVC/CVV, отказывать или одобрять операцию решает банк-эмитент БПК. Учитывая факт обращений клиентов, можно утверждать, что банки-эмитенты БПК произвели соответствующие настройки обработки авторизационных запросов.

НБРБ по результатам анализа информации от банка-эмитента электронных денег «Оплати» была проведена проверка функционирования сервиса, по результатам которой выявлено, что операции пополнения электронного кошелька с использованием БПК, эмитированных банками-резидентами, производятся с применением технологии 3D Secure».

Если вчитаться внимательно, можно сделать такие выводы:

  • банк-эквайер значение CVC/CVV не передавал, а то, что такие платежи проходили, — ответственность банков-эмитентов БПК;
  • 3D Secure на момент проверки Нацбанка уже работала;
  • сама проверка функционала стала результатом некоего обращения в Нацбанк. 

dev.by не удалось выяснить, кто и на что пожаловался в Нацбанк. Это точно были не мы. 

Может, это был наш читатель, который написал dev.by о небезопасной работе приложения? Вряд ли. Ведь в обращениях нужно указывать полное имя, а оно, судя по всему, никому не известно. По крайней мере, в Белинвестбанке всё ещё хотят знать, как зовут нашего читателя. Зачем? Для проверки.

— Если человек признается, что он пытался незаконным образом… — предположили в пресс-службе банка. — Все мы читаем договоры с банками при получении платёжной карты. Если человек пытается провести мошеннические действия, зачем он это делает?

На уточняющий вопрос, хотят ли читателя обвинить в мошенничестве, в пресс-службе ответили отрицательно.

Сравним с ответом Нацбанка: «Следовательно, в описываемых в обращении действиях можно усматривать заведомо мошеннические действия по отношению к держателю БПК, так как, согласно Инструкции, её использование должно осуществляться только держателем БПК».

О чём речь? Вероятно, о том, что, по словам нашего читателя, он пополнял счёт приложения с карты брата. Других версий у нас нет. Из контекста письма следует, что никакого конфликта между братьями из-за платежей нет — возможно, брат в момент операций находился рядом и тоже удивлялся зачислениям с неправильными CVV и без 3D Secure. Не исключено, что брат был придуман читателем, чтобы подчеркнуть риски — проведение платежей возможно и с карт третьих лиц. Мы этого не знаем — нам важно было другое: отсутствие верификации CVC/CVV и 3D Secure, в чём мы убедились сами.

Сейчас самое важное — то, что проблема решена. Помощь «нечестного» читателя оказалась очень кстати.

О!плати — платёжный сервис для мобильных устройств, разработанный компанией LWO в сотрудничестве с Белинвестбанком. В основе лежат электронные деньги, работает с использованием QR-кодов. Приложение позволяет оплачивать проезд в общественном транспорте в регионах Беларуси, платить в подключенных точках продаж, хранить карты лояльности, переводить деньги другим пользователя системы и др. Этим летом сервис стали тестировать в минских маршрутках и троллейбусах, к сентябрю его планируется распространить на весь общественный транспорт Минска.

Хотите сообщить важную новость?

Пишите в наш Телеграм

Читайте также

Протесты после инаугурации Лукашенко (обновляем)
Протесты после инаугурации Лукашенко (обновляем)
Протесты после инаугурации Лукашенко (обновляем)
«Работа встала». Rozum Robotics объявили 23 сентября нерабочим днём
«Работа встала». Rozum Robotics объявили 23 сентября нерабочим днём
«Работа встала». Rozum Robotics объявили 23 сентября нерабочим днём
3 комментария
«Присылать ОМОН?» Корпоратив ИТ-компании чуть не завершился на Окрестина
«Присылать ОМОН?» Корпоратив ИТ-компании чуть не завершился на Окрестина
«Присылать ОМОН?» Корпоратив ИТ-компании чуть не завершился на Окрестина
22 комментария
Две мобильные игры белорусов попали в топ-10 самых популярных в мире
Две мобильные игры белорусов попали в топ-10 самых популярных в мире
Две мобильные игры белорусов попали в топ-10 самых популярных в мире

Обсуждение

Сергей Масленников
Сергей Масленников Software Developer в Республиканское унитарное предприятие почтовой связи «Белпочта» (РУП "Белпочта")
0

Забавно, из это статьи выходит, что такое финансовое ПО Нацбанк РБ ни как не проверяет.

Или я не прав? Коллеги, кто "в теме"?

0

Как я понял, те кто делают такое ПО сбрасывают весь процесс работы в НБ, они смотрят, чтобы там все было ок, а потом проверки только по заявлению.

0

КГК проверяет и выдает crc на lib. По крайней мере так было в Беларусбанке для софта вида КлиентБанк.

0

Так КГК проверяет разово, а потом уже никто ничего не делает, если жалоб нет?

0

Каждый раз, когда вносите изменения в библиотеку (CRC меняется). Проверка занимает 30 дней, если я правильно помню

0

Тогда получается тут вариант один: они не сообщили о том, что внесли изменения, а НБ поэтому и не проверял. Хотя, могли сообщить, а НБ не нашел (не обратил внимание на) эту уязвимость.

0

Вариант народный - они сообщали, но никто никогда не проверяет. Потому что КГК не наказуем и нафиг напрягаться.

Спасибо! 

Получать рассылки dev.by про белорусское ИТ

Что-то пошло не так. Попробуйте позже