Humans и Paylov обвинили друг друга в исчезновении денег с карт пользователей

В компании заявили, что часть пользователей приложения с 4 по 8 декабря 2025 года дважды стала жертвой мошенничества через банковские карты, и что уязвимость, позволившая преступникам осуществлять несанкционированные списания, находилась в технической системе платежного сервиса Paylov.

Компания сообщила, что передала Центральному банку и правоохранительным органам полный комплект технических материалов, «чтобы проверить уязвимости в инфраструктуре Paylov и установить преступников».

«Все мошеннические операции совершались без участия приложения Humans, без участия клиентов и без ввода OTP-кодов. Мошенники направляли машинные запросы напрямую в API Paylov и, получив доступ к токенам карт и ключам, за которые отвечает Paylov, смогли списать средства. После первой волны мошенничества Paylov не принял достаточные ограничительные меры, включая блокировку неавторизованных IP-адресов, откуда поступали запросы. Это привело к повторной атаке», — говорится в заявлении.

Вопрос возврата средств пострадавшим будет решаться в соответствии с требованиями законодательства. Также в Humans отметили, что мошеннические операции коснулись не только их клиентов — часть операций была совершена через карты пользователей других платежных организаций.
После заявления Humans свою позицию представило и АО «Ostagrom» (торговая марка Paylov).

Уточняется, что между АО «Ostagrom» и АО «Humans Companies» 10 апреля 2025 года был подписан договор №32, согласно которому Humans предоставлял своим клиентам услуги по платежам и P2P-переводам через инфраструктуру Paylov.

«6 декабря 2025 года сотрудники АО “Ostagrom” уведомили ответственных сотрудников Humans о наблюдаемых подозрительных транзакциях, после чего операции были временно приостановлены. 7 декабря Humans официально обратился к “Ostagrom”, сообщив, что необходимые меры приняты и мошеннические операции предотвращены. На основании этого письма Humans попросил возобновить операции. По состоянию на 8 декабря все платежные услуги, предоставляемые через приложение Humans, временно приостановлены», — говорится (https://t.me/paylovuz/31) в заявлении Paylov.

Компания утверждает, что технических уязвимостей на стороне Paylov не было и что все необходимые меры были предприняты.

«Мошеннические операции были совершены через зашифрованные ключи, переданные Humans, и ответственность за их корректное и безопасное хранение несет Humans. При этом важно отметить, что ни у одного другого партнёра, использующего технические решения Paylov, подобных инцидентов не наблюдалось. В настоящий момент проводится оперативная проверка, и Paylov предоставляет всю необходимую информацию компетентным органам», — говорится в комментарии.