Компания Humans сообщила о двух волнах мошеннических списаний с банковских карт части пользователей в период с 4 по 8 декабря 2025 года.
Как уточняется, уязвимость была выявлена в техническом контуре платёжного сервиса Paylov, правообладателем которого является АО «OCTAGRAM».
По информации Humans, злоумышленники осуществляли несанкционированные операции вне приложения — без участия клиентов и без ввода OTP-кодов, направляя машинные запросы напрямую в API Paylov. Это стало возможным из-за доступа к токенам карт и ключам, находящимся в зоне ответственности платёжного сервиса. После первой атаки, как отмечается, не были приняты достаточные меры по ограничению доступа, что привело к повторной волне фрода. При этом пострадали не только пользователи Humans, но и клиенты других платёжных организаций, утверждает компания.
Компания передала все необходимые технические материалы регулятору и правоохранительным органам для расследования инцидента. Вопрос компенсации ущерба пострадавшим клиентам будет решаться в рамках действующего законодательства. В Humans заявили, что считают единственно приемлемым вариантом полную и прозрачную компенсацию потерь.
В связи с инцидентом временно приостановлены P2P-переводы через сервис Paylov в приложении Humans. Ограничения касаются только данного функционала. Все остальные сервисы компании работают в штатном режиме, говорится в сообщении.
