Приложение от LWO пропускает платежи с липовыми CVV (скоро — в минских маршрутках)

В dev.by пришло письмо от пользователя мобильного платёжного сервиса О!плати. Того самого, с помощью которого скоро можно будет платить за проезд в маршрутках (с 11 июня уже работает на маршруте 1077).

Оставить комментарий
Приложение от LWO пропускает платежи с липовыми CVV (скоро — в минских маршрутках)

В dev.by пришло письмо от пользователя мобильного платёжного сервиса О!плати. Того самого, с помощью которого скоро можно будет платить за проезд в маршрутках (с 11 июня уже работает на маршруте 1077).

Наш читатель поделился своим опытом пополнения электронного кошелька О!плати с банковской карты.

«Когда я пытался пополнить счёт электронными деньгами с помощью карты моего брата в разделе «пополнить», «с карты другого банка», я случайно ввёл неправильный код CVV. Но платёж прошёл. Я попробовал ещё раз, а также написал неправильное имя владельца карты, и платёж снова прошёл! Выяснилось, что данное приложение снимает деньги с карт третьих лиц без проверки CVV и без двухфакторной защиты!

Получается, что пользователи О!плати могут списать деньги с любой чужой карты, если знают её номер и срок действия. Это может привести к массовому воровству денег с кредитных карт и мошенничеству. 

Прошу осветить эту проблему, чтобы разработчик прекратил работу финансового сервиса до исправления нарушений в работе. И ввёл надежную систему для защиты сохранности денег!»

dev.by проверил информацию, скачав приложение и зарегистрировав сотрудника в системе.

Для регистрации приложение запросило идентификационный номер из паспорта. Получив его, оно сразу же идентифицировало ФИО пользователя, его телефон и данные открытых в Белинвестбанке карт. На телефон также пришло смс с кодом, но вводить его не понадобилось — всё заработало и так. Пополнить кошелёк мы попытались с карты другого банка.

Указываем запрашиваемые данные, допуская ошибки сразу в трёх полях — дата окончания действия карты, СVV и имя держателя карты. Выбираем минимальную сумму платежа — 0,5 рубля. Жмём «пополнить» — система выдаёт ошибку. 

Меняем год в «срок действия» на правильный, оставляя неправильные CVV и фамилию, жмём «пополнить» и — о, чудо! — 50 копеек зачисляются в кошелек. На банковской карте баланс соответственно уменьшился. Привычного смс с кодом подтверждения операции не было.

Повторяем эксперимент с другим CVV, в графе «имя держателя карты» нахально пишем «тестируем сервис» — ноу проблем! — система вновь пополняет счёт.

тестируем Android-версию
тестируем iOS-версию

dev.by обратился за комментарием к разработчику. В LWO сказали, что «отзвонятся, если сочтут нужным». Очень ждём звонка.

Мобильный платежный сервис О!плати LWO запустила совместно с Белинвестбанком в сентябре 2019 года. С помощью приложения можно платить за товары и услуги, используя QR-код, переводить деньги между пользователями сервиса без комиссии в чате и добавлять скидочные карты. В основе лежат электронные деньги и отсутствует привязка к банковской платежной карточке. Пополнить кошелек можно с карты любого банка, а вывести средства — на карточку Белинвестбанка. Приложение бесплатное и доступно в AppStore и Google Play как для частных клиентов, так и для бизнеса.

В Google Play приложение скачали больше 100 тысяч раз. Средняя оценка — 3,3 (в App Store она ниже — 2,8). Среди 1000+ отзывов немало положительных, но есть и критические.  Пользователи жалуются на нестабильную работу приложения, ошибки при оплате в транспорте, критикуют отсутствие NFC.

​LWO (Light Well Organization)

Создана в 2008 году. Сотрудников в Беларуси — 420. Специализируется на разработке, внедрении и сопровождении программного обеспечения для финансовых организаций и крупных корпоративных клиентов. Входит в ТОР-5 крупнейших поставщиков ПО на внутренний рынок (данные ПВТ, 2017 год). В ПВТ с 2013 года.

Разработала цифровую платформу для переписи населения-2019. Заказчик ПО, Белстат, комментировал сбои в работе сайта и приложения на планшете переписчика после обновления.

Ранее dev.by писал об оригинальной бизнес-модели LWO: компания предлагала заказчикам не платить за разработку, а после внедрения софта рассчитываться частями — от 70% до 30% от суммы снижения затрат.

Хотите сообщить важную новость? Пишите в Телеграм-бот.

А также подписывайтесь на наш Телеграм-канал.

Горячие события

HRgile.club 2021 Online
23 апреля

HRgile.club 2021 Online

Минск

Читайте также

Clubhouse ушёл в крутое пике
Clubhouse ушёл в крутое пике
Clubhouse ушёл в крутое пике
1 комментарий
Facebook тестирует приложение для «быстрых видеосвиданий»
Facebook тестирует приложение для «быстрых видеосвиданий»
Facebook тестирует приложение для «быстрых видеосвиданий»
Apple и Google заблокировали обновление антиковидного приложения британского правительства
Apple и Google заблокировали обновление антиковидного приложения британского правительства
Apple и Google заблокировали обновление антиковидного приложения британского правительства
App Store начал отбраковывать приложения, которые без спроса собирают пользовательские данные
App Store начал отбраковывать приложения, которые без спроса собирают пользовательские данные
App Store начал отбраковывать приложения, которые без спроса собирают пользовательские данные

Обсуждение

Комментариев пока нет.
Спасибо! 

Получать рассылки dev.by про белорусское ИТ

Что-то пошло не так. Попробуйте позже