Плоти нологи! Информация для предпринимателей.

Обнаружена опасная уязвимость monobank. Деньги уходят со счетов в никуда


Обнаружена опасная уязвимость monobank. Деньги уходят со счетов в никуда

Повідомлення номер:#1  Повідомлення Booker » 30 серпня 2020, 07:20

Ошибка в банковском шаблоне присваивает один IBAN разным контрагентам

Зображення

В monobank происходят загадочные сбои, в результате которых деньги со счета списываются, но платежи не доходят до получателей и зависают на межбанке. Специалисты констатируют, что в банковских шаблонах опасная уязвимость. В банке также признают наличие проблемы системного характера.

UBR.ua провел собственное расследование случившегося, и перед нами открылась картина внутреннего хаоса банковского сектора и растущей некомпетентности его сотрудников, которые присваивают уникальный счет IBAN двум различным контрагентам, что в принципе запрещено. Эксперты предупреждают: клиенты могут потерять деньги не по своей вине.

Booker

Аватар користувача
За 74 000 сообщений
Администратор форума
 
Повідомлення: 74227
Зареєстрований:
22 лютого 2011, 22:28
Бали репутації: 6009

Re: Обнаружена опасная уязвимость monobank. Деньги уходят со счетов в никуда

Повідомлення номер:#2  Повідомлення Booker » 30 серпня 2020, 07:20

Ошибки в платежах

При мониторинге рабочих групп и чатов инвесторов "Укрбуда" мы обнаружили сообщения их участников о том, что при наборе в приложении monobank уникального международного номера банковского счета IBAN, который принадлежит финансовой компании ООО "ФК Житло-Капитал" (код ЕГРПОУ 35393445) в системе "подтягиваются" реквизиты чужого контрагента - строительной компании "Киевгорстрой" (Київміськбуд, КМБ), код ЕГРПОУ 23527052.

Зображення

Причем речь идет не о ручном вводе реквизитов, система автоматически генерирует данные чужого контрагента-застройщика в привязке к уникальному международному банковскому счету IBAN финансовой компании. В итоге при совершении платежей деньги списываются, но оплаты до получателя так и не доходят. Деньги "зависают".

"Я ввел номер счета, а остальные реквизиты подтянулись автоматом сами. Ну, я и отправил. А сегодня деньги вернулись, говорят неправильно, поменяйте реквизиты", – прокомментировал UBR.ua один из "укрбудовцев" Сергей.

В monobank подтвердили, что имело место несколько случаев подобных странных "сбоев" в платежной системе необанка.

"Было 3 оплаты (от трех разных людей 17 и 18.08), и все по одинаковым реквизитам (без коррекции), возврат средств мы получили только сегодня (22 августа, – ред.) и сделали исправление", – подтвердил UBR.ua глава отдела маркетинга monobank Анатолий Рогальский.

Однако подобного быть не может в принципе. Система IBAN и введена как раз для того, чтобы избегать таких "ошибок".

Booker

Аватар користувача
За 74 000 сообщений
Администратор форума
 
Повідомлення: 74227
Зареєстрований:
22 лютого 2011, 22:28
Бали репутації: 6009

Re: Обнаружена опасная уязвимость monobank. Деньги уходят со счетов в никуда

Повідомлення номер:#3  Повідомлення Booker » 30 серпня 2020, 07:21

Международная система IBAN

Новый формат банковского счета – IBAN (International Bank Account Number) – международный номер банковского счета, введенный с целью упрощения операций между банками разных стран, этот формат с августа прошлого года ввели у себя и украинские банки.

Номер счета IBAN состоит из 29 символов, из которых первые 10 – код страны, контрольное число и код банка. Первые две буквы – UA – код Украины. Два символа после кода – контрольные, они предназначены для проверки подлинности счета и защищают информацию от ошибок при внесении данных. Следующие шесть цифр – код МФО банка. Вторая группа символов (19 знаков) – номер счета клиента банка. Первые пять нулей, как правило, дополняют IBAN до 29 знаков, а 14 цифр – это номер счета карты.

Таким образом, введение в платежке уникального счета IBAN позволяет клиенту избегать набора любых дополнительных реквизитов банка и кода получателя – они автоматически "зашиты" в счет IBAN. Другими словами, ошибка исключена в принципе, но по каким-то причинам в monobank произошел сбой.

Среди его жертв оказалась Вероника Слободян – инвестор-"укрбудовец" с многолетним опытом работы в банке, которая на днях уволилась с должности руководителя управления кассового обслуживания одного из банков, поэтому прекрасно владеет темой в силу своей специализации. Мы с ней связались и попросили прокомментировать и саму ситуацию, и реакцию на нее monobank.

На комментарии этого банковского работника мы и делаем упор, ее оценка значима по сравнению с другими "жертвами" потому, что она в данном случае выступает и как пострадавший клиент банка, который общался с его сотрудниками, и как квалифицированный специалист, который вправе оценить их действия и объяснения.

"Это очень серьезный промах кого-то из сотрудников. В банке заводится карточка-шаблон клиента, куда вносятся все его данные и реквизиты. И все они привязываются к счету IBAN. Если его набрать, они должны подтягиваться автоматически. Но monobank выводит чужие данные. У них ошибка в шаблоне", – рассказывает Вероника Слободян.

Booker

Аватар користувача
За 74 000 сообщений
Администратор форума
 
Повідомлення: 74227
Зареєстрований:
22 лютого 2011, 22:28
Бали репутації: 6009

Re: Обнаружена опасная уязвимость monobank. Деньги уходят со счетов в никуда

Повідомлення номер:#4  Повідомлення Booker » 30 серпня 2020, 07:23

Некомпетентность

В распоряжении редакции UBR.ua оказалась переписка Вероники Слободян со Службой поддержки monobank, которая вскрыла очевидные проблемы банков после ввода системы IBAN. Во-первых, сотрудники банка не смогли оперативно предоставить квалифицированную помощь клиенту, во-вторых, выяснилось, что никто из украинцев не застрахован от чьей-то ошибки в банке, которая потенциально может привести к финансовым потерям.

Зображення
Зображення
Зображення
Зображення
Зображення

Booker

Аватар користувача
За 74 000 сообщений
Администратор форума
 
Повідомлення: 74227
Зареєстрований:
22 лютого 2011, 22:28
Бали репутації: 6009

Re: Обнаружена опасная уязвимость monobank. Деньги уходят со счетов в никуда

Повідомлення номер:#5  Повідомлення Booker » 30 серпня 2020, 07:25

Один IBAN – два контрагента

Специалисты, предоставленные колл-центром monobank, рассказывают удивительные вещи. Оказывается, на одном IBAN в Универсалбанке могут находиться два разных контрагента, на основании чего monobank отказывается исправлять ошибку в своем шаблоне.

Учитывая, что застройщик и финансовая компания делают одно дело – достраивают объекты "Укрбуда", такое объяснение, вероятно, могло бы удовлетворить наивного обывателя. Но не сотрудника банковской сферы, которая уличила Службу поддержки в незнании стандартов открытия счета.

Зображення
Зображення

Доводы Слободян подтверждает и Рогальский, который сходу отвергает версию сотрудников monobank о двух одинаковых IBAN для разных контрагентов. При этом он успокаивает, что потерянные деньги пусть не сразу, но вернутся.

"Почему есть два одинаковых IBAN с разными ЕДРПОУ? Короткий ответ — их нет. Если счет не принадлежит ЕДРПОУ, платеж уйдет из банка, и в течение 5 дней придет запрос на уточнение от банка-получателя. Если мы не ответим на запрос – банк получатель вернет нам деньги за платеж и запись из справочника будет удалена", – объясняет глава отдела маркетинга monobank.

Слободян акцентирует, что ответы сотрудников поддержки monobank некомпетентны, и по вине банка клиенты, которые отправляют платежи по кредиту, в случае просрочки пострадают от штрафных санкций.

"На поддержке меня 3 раза уверяли, что у одного айбана может быть несколько ЕДРПОУ. Пусть не вводят в заблуждение людей. Неправильные реквизиты и несвоевременное зачисление может повлечь штраф для клиента. Кто будет за это отвечать? Здесь есть вина monobank", – подчеркивает Вероника Слободян.

Booker

Аватар користувача
За 74 000 сообщений
Администратор форума
 
Повідомлення: 74227
Зареєстрований:
22 лютого 2011, 22:28
Бали репутації: 6009

Re: Обнаружена опасная уязвимость monobank. Деньги уходят со счетов в никуда

Повідомлення номер:#6  Повідомлення Booker » 30 серпня 2020, 07:26

Оплата по старинке?

Согласно устоявшемуся в банковском секторе мнению, некомпетентность низового звена персонала банка катастрофически нарастает. До последнего времени monobank на фоне чужих недостатков существенно выигрывал в глазах украинцев. Но, как следует из переписки, сотрудники банка отказываются исправлять очевидные ошибки в банковском шаблоне, что сохраняет угрозы в будущем для клиентов банка.

Вместо этого предлагают платить по старинке, через код ЕГРПОУ и прочие реквизиты. Но тогда неясно, зачем вообще в Украине введен IBAN. Тем более что после его введения контрагенты уже не предоставляют свой ЕГРПОУ, то есть плательщик может его вообще не знать. При этом служба поддержки фактически рекомендует не следовать тем рекомендациям, которые выложил сам же monobank в своей "форме".

Зображення
Зображення
Зображення

Как следует из данных самого приложения, рекомендации Службы поддержки выполнить невозможно в принципе. Ведь поиск по ЕГРПОУ уже не работает и найти контрагента по нему невозможно.

Зображення

Booker

Аватар користувача
За 74 000 сообщений
Администратор форума
 
Повідомлення: 74227
Зареєстрований:
22 лютого 2011, 22:28
Бали репутації: 6009

Re: Обнаружена опасная уязвимость monobank. Деньги уходят со счетов в никуда

Повідомлення номер:#7  Повідомлення Booker » 30 серпня 2020, 07:27

Шаблон monobank опасен

Еще более невероятные факты рассказал Анатолий Рогальский. Оказывается, никакого неизменного банковского шаблона в monobank как "фундамента" для точных реквизитов нет. Реквизиты контрагента сами подтягиваются под внесенные ранее другими клиентами данные при осуществлении платежа.

"Почему так произошло: когда клиент делает платеж по реквизитам, мы вносим данные в справочник, чтобы, когда другой клиент делает платеж по тем же реквизитам, ему не нужно было вводить все данные с нуля. Работает по принципу "предзаполнения" полей. Итого: один клиент сделал платеж, мы реквизиты сохранили. Другой клиент сделал поиск по IBAN, мы подтянули реквизиты с прошлого платежа. Показываем последние реквизиты, по которым была оплата в связке IBAN-ЕДРПОУ", – объясняет глава отдела маркетинга monobank.

Однако выводы топ-менеджера monobank не подтвердились на практике. Когда клиентка после возврата денег успешно совершила повторный платеж вручную, вопреки уверениям Рогальского, данные в банковском шаблоне так и не перезаписались по "правильному" платежу, ошибка продолжила генерироваться. Лишь после долгого сопротивления под логикой упрямых фактов в банке все-таки признали наличие уязвимости и пообещали ее разрешить: "Да, нашли ошибку, не перезаписали данные шаблона. Исправим".

Однако по состоянию на сегодня проблема так и не решена. Как следует из данных приложения monobank, работники банка подправили в шаблоне ЕГРПОУ, который изменился на правильный, но не тронули название компании-получателя. А это значит, что ошибка осталась, ведь оплата не сможет зайти на контрагента, чье название указано неправильно.

Зображення

Booker

Аватар користувача
За 74 000 сообщений
Администратор форума
 
Повідомлення: 74227
Зареєстрований:
22 лютого 2011, 22:28
Бали репутації: 6009

Re: Обнаружена опасная уязвимость monobank. Деньги уходят со счетов в никуда

Повідомлення номер:#8  Повідомлення Booker » 30 серпня 2020, 07:29

Надеемся, что шаблон все-таки подправят, но наше расследование показало, что в monobank присутствует системная ошибка. Так, по словам Рогальского, ошибочный шаблон сформировался по первому неверному платежу, после чего продолжил генерировать ошибочные платежки и дальше на все последующие операции с этим IBAN.

Однако если банковский шаблон создается не реальным сотрудником банка, а автоматически формируется под платеж, сделанный неизвестно кем и с какой целью, то деньги клиентов monobank могут и в будущем уходить по "левым" счетам, причем это касается какого угодно контрагента, ведь люди доверяют IBAN.

В лучшем случае клиент потеряет несколько банковских дней, которые, тем не менее, могут привести к большим проблемам, если нужна была срочная оплата. Ведь если сумма крупная и продублировать платеж до возврата средств нет, а сроки горят, то штрафные санкции за неуплаченный вовремя кредит обеспечены.

В худшем случае отправленные таким образом в никуда деньги где-то зависнут, и, чтобы вернуть их назад, клиенту банка придется идти в суды, которые могут растянуться на годы. Специалисты видят угрозу в "шаблоне по предзаполнению" и указывают, что такой подход опасен и для самого банка, и для его клиентов.

"Это не договорной платеж, и "предзаполнение" может быть опасно для банка. По сути, их шаблоны могут быть вредны и сыграть против них", – считает Слободян.

Не только monobank

Банковские эксперты объясняют, что проблема на самом деле носит всеобъемлющий характер и касается не только monobank. Связано это с тем, что внедрение IBAN во всей банковской системы Украины в целом отличается от европейской практики, и подобные "сбои" фактически могут быть в любом банке. Чтобы их избежать, необходимо перепроверять при платеже не только IBAN, а все реквизиты, в том числе код ЕГРПОУ и название получателя.

"Нет единой базы, где забивают BankID – и сразу высвечиваются все достоверные данные по этому контрагенту. Каждый банк работает в рамках своей информационной политики. Поэтому необходимо проверять IBAN счет, название предприятия и счет ЕДРПОУ. По факту все вопросы к НБУ, потому что мы пошли в Европу, но не дошли. Нет единой базы обмена, нет единой базы хранения", – резюмирует аналитик финансовых рынков Василий Невмержицкий.

Таким образом по факту IBAN не упростил, а усложнил жизнь клиентам банков. Теперь нужно как перепроверять реквизиты по-старому, так и забивать 29-символьный международный номер счета.

Тут знаходиться посилання. Щоб побачити його, зареєструйтеся будь ласка, це займе у Вас всього хвилину

Booker

Аватар користувача
За 74 000 сообщений
Администратор форума
 
Повідомлення: 74227
Зареєстрований:
22 лютого 2011, 22:28
Бали репутації: 6009

Re: Обнаружена опасная уязвимость monobank. Деньги уходят со счетов в никуда

Повідомлення номер:#9  Повідомлення Чертенок No13 » 30 серпня 2020, 09:56

Приват вообще не выводит получателя по IBAN в большинстве случаев, когда я что-то оплачивала. Причём однажды даже заявил, что такого номера не существует. Хотя менеджер со своей стороны видит, что номер реальный и привязан именно к тому получателю. Это с компа. Приложение после нажатия "ввести реквизиты вручную" в коматоз ушло.
Хай ті фашисти ідуть
нахєр з України

Чертенок No13

Аватар користувача
За 71 000 сообщений
Секси-модератор
 
Повідомлення: 71066
Зареєстрований:
13 березня 2011, 19:21
Звідки: Asgard
Бали репутації: 5951

Re: Обнаружена опасная уязвимость monobank. Деньги уходят со счетов в никуда

Повідомлення номер:#10  Повідомлення olikturtle » 30 серпня 2020, 09:58

Тут знаходиться посилання. Щоб побачити його, зареєструйтеся будь ласка, це займе у Вас всього хвилину: Приват вообще не выводит получателя по IBAN в большинстве случаев, когда я что-то оплачивала. Причём однажды даже заявил, что такого номера не существует. Хотя менеджер со своей стороны видит, что номер реальный и привязан именно к тому получателю. Это с компа. Приложение после нажатия "ввести реквизиты вручную" в коматоз ушло.

Это больше похоже на временный глюк. Такое в любом банке бывает. На неделе меня Укрсибб радовал не раз глюками
Попрошу с утра у Санты.
С алкоголем депресанты..

olikturtle

Аватар користувача
За 31 000 сообщений
 
Повідомлення: 31208
Зареєстрований:
05 грудня 2014, 19:25
Звідки: Харьков
Бали репутації: 2842
Имеет доступ в закрытый раздел ''Закрытый клуб'' Имеет доступ в закрытый раздел ''Политика''

Re: Обнаружена опасная уязвимость monobank. Деньги уходят со счетов в никуда

Повідомлення номер:#11  Повідомлення Чертенок No13 » 30 серпня 2020, 09:59

Тут знаходиться посилання. Щоб побачити його, зареєструйтеся будь ласка, це займе у Вас всього хвилину:
Это больше похоже на временный глюк. Такое в любом банке бывает. На неделе меня Укрсибб радовал не раз глюками

У меня этот глюк с начала июля по сейчас.
Хай ті фашисти ідуть
нахєр з України

Чертенок No13

Аватар користувача
За 71 000 сообщений
Секси-модератор
 
Повідомлення: 71066
Зареєстрований:
13 березня 2011, 19:21
Звідки: Asgard
Бали репутації: 5951

Re: Обнаружена опасная уязвимость monobank. Деньги уходят со счетов в никуда

Повідомлення номер:#12  Повідомлення Lorienta » 30 серпня 2020, 11:30

Ответ на один рахунок IBAN могут принимать платежи разные компании это феерия.
Но с другой стороны, а что есть кто уже берет для оплаты только IBAN? Недавно как раз платила попросила выставить счет, там все было как раньше.
Лориэнта

Lorienta

За 24 000 сообщений
 
Повідомлення: 24471
Зареєстрований:
07 вересня 2014, 17:00
Звідки: Kharkov
Бали репутації: 2754
Имеет доступ в закрытый раздел ''Закрытый клуб'' Имеет доступ в закрытый раздел ''Политика''

Re: Обнаружена опасная уязвимость monobank. Деньги уходят со счетов в никуда

Повідомлення номер:#13  Повідомлення Чертенок No13 » 30 серпня 2020, 11:48

Мне без как раньше выставляли. И за билеты, и за поверку счётчиков.
Хай ті фашисти ідуть
нахєр з України

Чертенок No13

Аватар користувача
За 71 000 сообщений
Секси-модератор
 
Повідомлення: 71066
Зареєстрований:
13 березня 2011, 19:21
Звідки: Asgard
Бали репутації: 5951

Re: Обнаружена опасная уязвимость monobank. Деньги уходят со счетов в никуда

Повідомлення номер:#14  Повідомлення olikturtle » 30 серпня 2020, 11:53

У меня только Ибан.
Попрошу с утра у Санты.
С алкоголем депресанты..

olikturtle

Аватар користувача
За 31 000 сообщений
 
Повідомлення: 31208
Зареєстрований:
05 грудня 2014, 19:25
Звідки: Харьков
Бали репутації: 2842
Имеет доступ в закрытый раздел ''Закрытый клуб'' Имеет доступ в закрытый раздел ''Политика''

Re: Обнаружена опасная уязвимость monobank. Деньги уходят со счетов в никуда

Повідомлення номер:#15  Повідомлення Lorienta » 30 серпня 2020, 11:59

Тут знаходиться посилання. Щоб побачити його, зареєструйтеся будь ласка, це займе у Вас всього хвилину: У меня только Ибан.

Т е в счете фактуры убрали все что было в т.ч. наименование и код и оставили только IBAN? :?
Сейчас подумала, даже на работе те счета которые выставляют поставщики содержат код, наименование, правда подозреваю в силу того что всем лень переделывать.
Лориэнта

Lorienta

За 24 000 сообщений
 
Повідомлення: 24471
Зареєстрований:
07 вересня 2014, 17:00
Звідки: Kharkov
Бали репутації: 2754
Имеет доступ в закрытый раздел ''Закрытый клуб'' Имеет доступ в закрытый раздел ''Политика''

Re: Обнаружена опасная уязвимость monobank. Деньги уходят со счетов в никуда

Повідомлення номер:#16  Повідомлення olikturtle » 30 серпня 2020, 12:13

Тут знаходиться посилання. Щоб побачити його, зареєструйтеся будь ласка, це займе у Вас всього хвилину:
Т е в счете фактуры убрали все что было в т.ч. наименование и код и оставили только IBAN? :?
Сейчас подумала, даже на работе те счета которые выставляют поставщики содержат код, наименование, правда подозреваю в силу того что всем лень переделывать.

Кода нет. Есть наименование и счет. 1С-ка сразу подсуетилась
Попрошу с утра у Санты.
С алкоголем депресанты..

olikturtle

Аватар користувача
За 31 000 сообщений
 
Повідомлення: 31208
Зареєстрований:
05 грудня 2014, 19:25
Звідки: Харьков
Бали репутації: 2842
Имеет доступ в закрытый раздел ''Закрытый клуб'' Имеет доступ в закрытый раздел ''Политика''

Розділ Статистика

Повернутись до Бизнес, бухгалтерия, налоги