Приложение от LWO пропускает платежи с липовыми CVV (скоро — в минских маршрутках)

В dev.by пришло письмо от пользователя мобильного платёжного сервиса О!плати. Того самого, с помощью которого скоро можно будет платить за проезд в маршрутках (с 11 июня уже работает на маршруте 1077).

44 комментария
Приложение от LWO пропускает платежи с липовыми CVV (скоро — в минских маршрутках)

В dev.by пришло письмо от пользователя мобильного платёжного сервиса О!плати. Того самого, с помощью которого скоро можно будет платить за проезд в маршрутках (с 11 июня уже работает на маршруте 1077).

Наш читатель поделился своим опытом пополнения электронного кошелька О!плати с банковской карты.

«Когда я пытался пополнить счёт электронными деньгами с помощью карты моего брата в разделе «пополнить», «с карты другого банка», я случайно ввёл неправильный код CVV. Но платёж прошёл. Я попробовал ещё раз, а также написал неправильное имя владельца карты, и платёж снова прошёл! Выяснилось, что данное приложение снимает деньги с карт третьих лиц без проверки CVV и без двухфакторной защиты!

Получается, что пользователи О!плати могут списать деньги с любой чужой карты, если знают её номер и срок действия. Это может привести к массовому воровству денег с кредитных карт и мошенничеству. 

Прошу осветить эту проблему, чтобы разработчик прекратил работу финансового сервиса до исправления нарушений в работе. И ввёл надежную систему для защиты сохранности денег!»

dev.by проверил информацию, скачав приложение и зарегистрировав сотрудника в системе.

Для регистрации приложение запросило идентификационный номер из паспорта. Получив его, оно сразу же идентифицировало ФИО пользователя, его телефон и данные открытых в Белинвестбанке карт. На телефон также пришло смс с кодом, но вводить его не понадобилось — всё заработало и так. Пополнить кошелёк мы попытались с карты другого банка.

Указываем запрашиваемые данные, допуская ошибки сразу в трёх полях — дата окончания действия карты, СVV и имя держателя карты. Выбираем минимальную сумму платежа — 0,5 рубля. Жмём «пополнить» — система выдаёт ошибку. 

Меняем год в «срок действия» на правильный, оставляя неправильные CVV и фамилию, жмём «пополнить» и — о, чудо! — 50 копеек зачисляются в кошелек. На банковской карте баланс соответственно уменьшился. Привычного смс с кодом подтверждения операции не было.

Повторяем эксперимент с другим CVV, в графе «имя держателя карты» нахально пишем «тестируем сервис» — ноу проблем! — система вновь пополняет счёт.

тестируем Android-версию
тестируем iOS-версию

dev.by обратился за комментарием к разработчику. В LWO сказали, что «отзвонятся, если сочтут нужным». Очень ждём звонка.

Мобильный платежный сервис О!плати LWO запустила совместно с Белинвестбанком в сентябре 2019 года. С помощью приложения можно платить за товары и услуги, используя QR-код, переводить деньги между пользователями сервиса без комиссии в чате и добавлять скидочные карты. В основе лежат электронные деньги и отсутствует привязка к банковской платежной карточке. Пополнить кошелек можно с карты любого банка, а вывести средства — на карточку Белинвестбанка. Приложение бесплатное и доступно в AppStore и Google Play как для частных клиентов, так и для бизнеса.

В Google Play приложение скачали больше 100 тысяч раз. Средняя оценка — 3,3 (в App Store она ниже — 2,8). Среди 1000+ отзывов немало положительных, но есть и критические.  Пользователи жалуются на нестабильную работу приложения, ошибки при оплате в транспорте, критикуют отсутствие NFC.

​LWO (Light Well Organization)

Создана в 2008 году. Сотрудников в Беларуси — 420. Специализируется на разработке, внедрении и сопровождении программного обеспечения для финансовых организаций и крупных корпоративных клиентов. Входит в ТОР-5 крупнейших поставщиков ПО на внутренний рынок (данные ПВТ, 2017 год). В ПВТ с 2013 года.

Разработала цифровую платформу для переписи населения-2019. Заказчик ПО, Белстат, комментировал сбои в работе сайта и приложения на планшете переписчика после обновления.

Ранее dev.by писал об оригинальной бизнес-модели LWO: компания предлагала заказчикам не платить за разработку, а после внедрения софта рассчитываться частями — от 70% до 30% от суммы снижения затрат.

Хотите сообщить важную новость?

Пишите в наш Телеграм

Читайте также

Нацбанк увидел в истории с О!плати мошенничество, но это не точно
Нацбанк увидел в истории с О!плати мошенничество, но это не точно
Нацбанк увидел в истории с О!плати мошенничество, но это не точно
7 комментариев
Gismart запустила партнёрскую программу для разработчиков игр с сильными командами
Gismart запустила партнёрскую программу для разработчиков игр с сильными командами
Gismart запустила партнёрскую программу для разработчиков игр с сильными командами
SDK Facebook снова «положил» популярные iOS-приложения
SDK Facebook снова «положил» популярные iOS-приложения
SDK Facebook снова «положил» популярные iOS-приложения
«Проблемное» приложение для оплаты проезда  заработало в троллейбусах Минска
«Проблемное» приложение для оплаты проезда заработало в троллейбусах Минска
«Проблемное» приложение для оплаты проезда заработало в троллейбусах Минска
1 комментарий

Обсуждение

1

А вопросов к платёжным системам нет что ли?

Alexander Mihailovski
Alexander Mihailovski Директор по развитию бизнеса в eComCharge LLC
3

А какие вопросы к платежным системам? Платежные транзакции без CVV технически допустимы. Рекуренты, к примеру, без CVV и проводятся.

1

Весьма странно. Думал что cvv обязательный атрибут.

Alexander Mihailovski
Alexander Mihailovski Директор по развитию бизнеса в eComCharge LLC
5

Нет, это не так. Теперь вы это знаете.:-)

0

В зависимости от банка, либо он разрешает либо нет. Помню однажды даже пришлось писать заявление что бы временно отключили проверку, какой то древний сервис хотел без cvv сделать оплаты а банк не пускал.

0

Для рекуррентов все равно нужно первый платеж с CVV проводить

Alexander Mihailovski
Alexander Mihailovski Директор по развитию бизнеса в eComCharge LLC
1

Я бы еще всегда и проверку по 3d secure для первого платежа делал.:-)

4

Тут скорее поступят вопросы ОТ платежных систем!..

-1

Почему ,если они позволяют проводить транзакции без cvv , то вопросы именно к ним. зачем тогда нужен этот код?

4

Если процессинг банка-эквайера пропускает такие кривые (с откровенно левыми именами и cvv) транзакции в международные платежные системы - МПС вправе применить к эквайеру штрафные санкции.

Пётр Кладов
Пётр Кладов Co-Founder в ПКБ «Витебск»
0

Платежи с левыми именами пропускают вообще все (лично я исключений не встречал). Я давно уже при оплате вместо имени и фамилии пишу "1 1" и всё всегда проходит.

А в Белостоке и Варшаве в 2014 году велосервис Veturilo на станциях выдачи велосипедов позволял пополнять свой счёт, вводя просто номер карты без CVV, без даты.

Alexander Mihailovski
Alexander Mihailovski Директор по развитию бизнеса в eComCharge LLC
0

Вот здесь почитайте: https://ru.wikipedia.org/wiki/CVV2

2

Интересно, а если попробовать оплатить и позвонить потом в банк о том что прошло левое списание с карты, банки будут принимать меры с блокировкой платежей на счёт компании?

Alexander Mihailovski
Alexander Mihailovski Директор по развитию бизнеса в eComCharge LLC
0

Так вам и при оплате с CVV ничто кроме вашей совести не мешает заявить в свой банк о том, что это не вы платеж сделали. Это конечно будет вранье, но тем не менее.

-4

Зависит от специалиста на том конце провода и конкретной ситуации и оплаты сервиса.
Говорю по личному опыту, были ситуации, когда звонили мамы/бабушки и спрашивали что за списание, что за фигня. Смотришь: а там оплата игр Mail или Wargaming. И рассказываешь женщинам, что автоматически деньги не могли списать, мб сын или внук. И резко тон беседы менялся. (:

11

Задал вопрос в их чате в телеграме. Просто начали удалять сообщения. Отлично.

4

Ребята накосячили просто жесть.
Всё-таки жаль, но шумовая информация/мнение банковского и других смежных рынках о сервисе и приложении видимо подтверждается ;(
Им бы продуктмага нормального...

-5

ну щя я войду по паспорту , а потом немного поворую денег с чужих карт

7

Ну, тут как во всех махинациях с кредитами и рассрочками, только проще - пасспорт не обязательно должен быть твой

Alexander Mihailovski
Alexander Mihailovski Директор по развитию бизнеса в eComCharge LLC
-1

А потом под статью и в суд.:-)

6

А пафоса ж было! О!плати - прям как белорусский WeChat позиционировался разрабами, ну-ну...

-7

В чём пафос по-вашему?
Никто не говорил, что это WeChat 2.0, даже если прочитаете интервью с Кондратенко на "Онлайнере". Похоже - да.
И давайте честно, пока люди набирают код и делают софт, ошибки будут. Вопрос в их быстрой заплатке. Не поверю, что не было факапов у других компаний в сфере финансов или банков.
Свежо предание о 2019, но обойдёмся без имён.

1

Пафос был в речах Вашего топ-менеджмента и топ-менеджмента Вашего банка-партнера. Робкие замечания о том, что WeChat не за день строился, и с нуля в короткие сроки его превзойти в принципе невозможно игнорировались. Ну и как говорится: "что могло пойти так?"

-3

Пафос был в речах Вашего топ-менеджмента и топ-менеджмента Вашего банка-партнера.

А можете процитировать что конкретно Вас так взбудоражило?
И я верно Вас понимаю, что ранее в мире никогда и нигде не было ситуаций, при которых компании (даже крупные и известные) делали ошибки (при этом их исправляли) выпуская продукт, при этом была хорошая презентация возможностей и где-то даже весьма смелые заявления со стороны топ-менеджмента?

9

Чудес не бывает - дешёвые разработчики и QA выпустили продукт соотвествующего качества.

-10

выпускает продукт любая другая организация
"Блин, ну сырой продукт, пацаны недоработали"
выпускает LWO
triggered "Вот что бывает, когда дешёвые разработчики и QA"

По сабжу: типа размер кошелька влияет на качество продукта, вот серьёзно. Теоретически, предположим, что есть разработчик которой пишет код для приложения в медицине и приложения для очередного ненужного мессенджера. Второй получает больше, хотя пользы от продукта больше от первого. Круче второй, потому что сумма чека выше? Вопрос риторический, можете не отвечать.

Alexander Mihailovski
Alexander Mihailovski Директор по развитию бизнеса в eComCharge LLC
7

Вот вы сейчас что-то не логичное написали. Начали с зависимости размера зарплаты разработчика/тестировщика от его профессионализма. А закончили зависимостью крутости продукта, который пишет разработчик, от того, сколько ему платят. Что к чему?
Вы же не будете спорить, что чем выше квалификация и профессионализм разработчика или тестировщика, тем качественнее код конечного продукта? Это факт. А уж полезен этот продукт или нет - это другой вопрос.

-3

Я скорее о том, что коль скоро LWO занимается разработкой на внутренний рынок, то у ряда людей (судя по всему) есть понимание "софт и решения на РБ = отстой и дёшево; софт нерезидентам - это круто, профессионально и дорого".

Разумеется, что оплата больше у скилловичков.

Alexander Mihailovski
Alexander Mihailovski Директор по развитию бизнеса в eComCharge LLC
1

Ну это конечно не верное суждение.:-) Качество софта напрямую зависит только от качества разработчиков и постановки задачи, а не от того на какой рынок он выпускается.

-6

"В Google Play приложение скачали больше 100 тысяч раз. Средняя оценка — 3,3 (в App Store она ниже — 2,8). Среди 1000+ отзывов немало положительных, но есть и критические. Пользователи жалуются на нестабильную работу приложения, ошибки при оплате в транспорте, критикуют отсутствие NFC"
"а вывести средства — на карточку Белинвестбанке"

Вывести можно бесплатно по IBAN на карту любого банка РБ, давайте весь перечень указывать.
Про количество скачиваний справедливо, но не указали, что приложение в топе в разделе "Финансы" и держит 2 позицию и в App Store, и в Play Market, обгоняя приложения других банков.

P.S. да-да, сотрудник LWO что-то комментирует, но давайте в объективность. Будь не LWO - указали бы ещё и топ в рейтинге приложений. Dev.by, давайте писать, но объективно, а не как с Цепкало

8

Ну раз вы сотрудник LWO, то лучше расскажите нам лучше о проблеме, описанной в статье - как так получилось, когда будет пофикшено?
Я вижу highest-priority баг, который должен быть залит хотфиксом чуть ли не в день нахождения этого бага. А по факту - рассуждения в комментах о маркетах, удаление комментов в телеге.

-4

Я, как и Вы, жду фикс данного бага. По скорости решения подсказать не могу, потому что для этого есть отдельные люди.
Вы же не ходите к проктологу, чтобы полечить зубы, верно? Вот и я на своей позиции не стану вмешиваться в процесс, которым занимаются другие люди. Стоит дождаться ответа и/или релиза.

А по факту - рассуждения в комментах о маркетах, удаление комментов в телеге.

По факту - здесь попытка сделать козла отпущения из компании, как это было с одной компанией в 2019 году, когда ребята делали софт для банка и вылезла ошибка, что пользователи могут заходить в чужие учётки. Повторюсь, ошибки возможны у всех компаний/бизнесов, пока в них работают люди. Насчёт удаления комментов в Телеге, если такое было (не отслеживал чат): действительно некрасиво и неудобно, неважно как компания называется.

4

Вы знаете, достаточно было получить от компании официальный комментарий в стиле "да, извините, мы лоханулись но уже очень быстро фиксим. +- пару дней на тестирование +- неделя на ревью приложения и всё будет готово".
Вот такое заявление сохранило бы репутацию вашей компании. А так ударили в грязь лицом и в типичном духе госконторы ответ - "мы не прокомментируем пока не сочтём нужным".
Так что козла отпущения вы делаете сами из себя.

Артем Кулик
Артем Кулик Java Tech Lead в GreyLoud
3

Так, ну давайте:
Написать гейт для BePaid, PayU, Braintree WePay - дело 1 недели для middle разраба т.к. гейт поддерживает АЖ ТРИ ФУНКЦИИ:
-Авторизацию денежных средств
-Отмену авторизации
-Чарж(списание)

Написать юнит тесты на 3 функции - ну неделя.
Протестить интеграцию с платехкой для куай это тоже ну неделя максимум.
Потом мерчант в прод и проверяем на закрытом проде. 2-3 дня тестировщиков.

Куча мест где такое можно заметить. Или как минимум увидить что негативный сценарий не проходит. Документация для кого написана у гейтов?

Отсюда вывод - возьми человека поумнее и подороже и он бы хотя бы задал вопрос почему негативный сценарий проходит и не плюется ошибкой.

0

Очень все красиво пишите. Но на практике вся эта красота иногда разбивается вдребезги о реальность. Например, внутри банка прямо на открытом проде кто-то забыл переключить тестовый режим сервиса в процессинге, и пропускаются все платежи. Процессинг не возвращает ошибку, и платеж проходит. Как вам такое?) С чего вы решили, что все указанное выше не было сделано? Я не говорю, что тут конкретно такой случай, может быть все что угодно. Но тут все поливают грязью разработчиков и тестировщиков, абсолютно не владея контекстом конкретной ситуации.

1

К сожалению есть и другие примеры плохой работы пэймент систем кроме LWO, но вообще если у меня с активированным 3D Secure пройдет такая оплата, то мои вопросы будут к банку, а не к этим разработчикам. Кстати не уверен, но думаю что в данном случае им повезло что они не в штатах и ЕС где могли получить огромные иски за это ...

Alexander Mihailovski
Alexander Mihailovski Директор по развитию бизнеса в eComCharge LLC
2

И какова была бы причина иска?
Знаете в тех же Штатах до сих пор популярны заказы товаров по почте, когда номер карты и ее срок действия от руки вписываются в купон, который отправляется в конверте почтой продавцу. И никто огромных исков этим продавцам не заявляет. А ведь механизм передачи информации о платежном инструменте одинаков.

3

Во первых причем тут продавцы если в описанном вами процессе купоны с данными доставляются почтой?
И на мой взгляд иски будут не от покупателей, а от страховой компании которая выплатит страховку этим покупателям или банка в том случае если компания пообещала выполнять стандарты безопасности, но по факту не сделал этого.

Alexander Mihailovski
Alexander Mihailovski Директор по развитию бизнеса в eComCharge LLC
1

Так нет никакого нарушения стандартов безопасности в возможности сделать платеж без ввода CVV.:-) Пропускать или транзакцию без CVV или не пропускать - решают эквайер и эмитент. Причем последнее слово - за эмитентом. Тот факт, что LWO разрешили делать платеж без CVV в своем приложении говорит лишь о том, что Белинвестбанк (эквайер) разрешил проводить транзакции без CVV.

Я вот не вижу, из статьи не очевидно, были ли попытки использовать в приложении О!плати карты не Белинвеста, и разрешали ли сторонние эмитенты пополнять кошелек в О!плати без CVV?

3

А прикиньте сейчас что от такого "специалиста" как этот директор зависят глобальные решения на проекте, за который отвечать потом и вам в том числе. Нормально?

5

2 вечных вопроса:
1 Кто виноват - LWO или банк эмитент?
2 Что делать? Как не допустить такого со своими картами?

Alexander Mihailovski
Alexander Mihailovski Директор по развитию бизнеса в eComCharge LLC
-2

1 Никто не виноват. Проводка платежей без CVV - это не запрещенное никаким стандартом действие. Хотя конечно неиспользование CVV существенно увеличивает риск несанкционированного использование чужих карт. По устоявшимся практикам привязка карты к электронному кошельку должна происходить со вводом CVV и обязательной проверкой по 3d secure. Последующие пополнения этого же кошелька с этой же карты уже могут проходить без ввода этих параметров.

2 Я бы посоветовал, если это умеет ваш банк, сделать настройку для вашей карты, что бы любая еком транзакция требовала ввода CVV и/или верификации через 3d secure.

2

У - уровень

3

По факту это значит чтобы пополнить свой кошелёк нужно знать только номер чужой карточки. Кому-то срочно придётся искать работу в другой области.

Спасибо! 

Получать рассылки dev.by про белорусское ИТ

Что-то пошло не так. Попробуйте позже