Close button

Обнаружена опасная уязвимость monobank

Обнаружена опасная уязвимость monobank

В monobank происходят загадочные сбои, в результате которых деньги со счета списываются, но платежи не доходят до получателей и зависают на межбанке. Специалисты констатируют, что в банковских шаблонах опасная уязвимость. В банке также признают наличие проблемы системного характера, повідомляє UBR.

UBR.ua провел собственное расследование случившегося, и перед нами открылась картина внутреннего хаоса банковского сектора и растущей некомпетентности его сотрудников, которые присваивают уникальный счет IBAN двум различным контрагентам, что в принципе запрещено. Эксперты предупреждают: клиенты могут потерять деньги не по своей вине.

Ошибки в платежах

При мониторинге рабочих групп и чатов инвесторов "Укрбуда" мы обнаружили сообщения их участников о том, что при наборе в приложении monobank уникального международного номера банковского счета IBAN, который принадлежит финансовой компании ООО "ФК Житло-Капитал" (код ЕГРПОУ 35393445) в системе "подтягиваются" реквизиты чужого контрагента - строительной компании "Киевгорстрой" (Київміськбуд, КМБ), код ЕГРПОУ 23527052.

monobank имеет уязвимость – IBAN ошибочный - фото 2

Причем речь идет не о ручном вводе реквизитов, система автоматически генерирует данные чужого контрагента-застройщика в привязке к уникальному международному банковскому счету IBAN финансовой компании. В итоге при совершении платежей деньги списываются, но оплаты до получателя так и не доходят. Деньги "зависают".

"Я ввел номер счета, а остальные реквизиты подтянулись автоматом сами. Ну, я и отправил. А сегодня деньги вернулись, говорят неправильно, поменяйте реквизиты", – прокомментировал один из "укрбудовцев" Сергей.

В monobank подтвердили, что имело место несколько случаев подобных странных "сбоев" в платежной системе необанка.

Читайте также: Почему опасно регистрировать компанию в Украине

"Было 3 оплаты (от трех разных людей 17 и 18.08), и все по одинаковым реквизитам (без коррекции), возврат средств мы получили только сегодня (22 августа, – ред.) и сделали исправление", – подтвердил глава отдела маркетинга monobank Анатолий Рогальский.

Однако подобного быть не может в принципе. Система IBAN и введена как раз для того, чтобы избегать таких "ошибок".

Международная система IBAN

Новый формат банковского счета – IBAN (International Bank Account Number) – международный номер банковского счета, введенный с целью упрощения операций между банками разных стран, этот формат с августа прошлого года ввели у себя и украинские банки.

Номер счета IBAN состоит из 29 символов, из которых первые 10 – код страны, контрольное число и код банка. Первые две буквы – UA – код Украины. Два символа после кода – контрольные, они предназначены для проверки подлинности счета и защищают информацию от ошибок при внесении данных. Следующие шесть цифр – код МФО банка. Вторая группа символов (19 знаков) – номер счета клиента банка. Первые пять нулей, как правило, дополняют IBAN до 29 знаков, а 14 цифр – это номер счета карты.

Читайте также: Топ-5 распространенных нарушений при регистрации юрлиц

Таким образом, введение в платежке уникального счета IBAN позволяет клиенту избегать набора любых дополнительных реквизитов банка и кода получателя – они автоматически "зашиты" в счет IBAN. Другими словами, ошибка исключена в принципе, но по каким-то причинам в monobank произошел сбой.

Среди его жертв оказалась Вероника Слободян – инвестор-"укрбудовец" с многолетним опытом работы в банке, которая на днях уволилась с должности руководителя управления кассового обслуживания одного из банков, поэтому прекрасно владеет темой в силу своей специализации. Мы с ней связались и попросили прокомментировать и саму ситуацию, и реакцию на нее monobank.

На комментарии этого банковского работника мы и делаем упор, ее оценка значима по сравнению с другими "жертвами" потому, что она в данном случае выступает и как пострадавший клиент банка, который общался с его сотрудниками, и как квалифицированный специалист, который вправе оценить их действия и объяснения.

"Это очень серьезный промах кого-то из сотрудников. В банке заводится карточка-шаблон клиента, куда вносятся все его данные и реквизиты. И все они привязываются к счету IBAN. Если его набрать, они должны подтягиваться автоматически. Но monobank выводит чужие данные. У них ошибка в шаблоне", – рассказывает Вероника Слободян.

Некомпетентность

В распоряжении редакции UBR.ua оказалась переписка Вероники Слободян со Службой поддержки monobank, которая вскрыла очевидные проблемы банков после ввода системы IBAN. Во-первых, сотрудники банка не смогли оперативно предоставить квалифицированную помощь клиенту, во-вторых, выяснилось, что никто из украинцев не застрахован от чьей-то ошибки в банке, которая потенциально может привести к финансовым потерям.

monobank имеет уязвимость – IBAN ошибочный - фото 3

monobank имеет уязвимость – IBAN ошибочный - фото 4

monobank имеет уязвимость – IBAN ошибочный - фото 5

monobank имеет уязвимость – IBAN ошибочный - фото 6

monobank имеет уязвимость – IBAN ошибочный - фото 7

Один IBAN – два контрагента

Специалисты, предоставленные колл-центром monobank, рассказывают удивительные вещи. Оказывается, на одном IBAN в Универсалбанке могут находиться два разных контрагента, на основании чего monobank отказывается исправлять ошибку в своем шаблоне.

Читайте также: Гончарук: чего ждать от нового политического сезона

Учитывая, что застройщик и финансовая компания делают одно дело – достраивают объекты "Укрбуда", такое объяснение, вероятно, могло бы удовлетворить наивного обывателя. Но не сотрудника банковской сферы, которая уличила Службу поддержки в незнании стандартов открытия счета.

monobank имеет уязвимость – IBAN ошибочный - фото 8

monobank имеет уязвимость – IBAN ошибочный - фото 9

Доводы Слободян подтверждает и Рогальский, который сходу отвергает версию сотрудников monobank о двух одинаковых IBAN для разных контрагентов. При этом он успокаивает, что потерянные деньги пусть не сразу, но вернутся.

"Почему есть два одинаковых IBAN с разными ЕДРПОУ? Короткий ответ — их нет. Если счет не принадлежит ЕДРПОУ, платеж уйдет из банка, и в течение 5 дней придет запрос на уточнение от банка-получателя. Если мы не ответим на запрос – банк получатель вернет нам деньги за платеж и запись из справочника будет удалена", – объясняет глава отдела маркетинга monobank.

Слободян акцентирует, что ответы сотрудников поддержки monobank некомпетентны, и по вине банка клиенты, которые отправляют платежи по кредиту, в случае просрочки пострадают от штрафных санкций.

"На поддержке меня 3 раза уверяли, что у одного айбана может быть несколько ЕДРПОУ. Пусть не вводят в заблуждение людей. Неправильные реквизиты и несвоевременное зачисление может повлечь штраф для клиента. Кто будет за это отвечать? Здесь есть вина monobank", – подчеркивает Вероника Слободян.

Оплата по старинке?

Согласно устоявшемуся в банковском секторе мнению, некомпетентность низового звена персонала банка катастрофически нарастает. До последнего времени monobank на фоне чужих недостатков существенно выигрывал в глазах украинцев. Но, как следует из переписки, сотрудники банка отказываются исправлять очевидные ошибки в банковском шаблоне, что сохраняет угрозы в будущем для клиентов банка.

Вместо этого предлагают платить по старинке, через код ЕГРПОУ и прочие реквизиты. Но тогда неясно, зачем вообще в Украине введен IBAN. Тем более что после его введения контрагенты уже не предоставляют свой ЕГРПОУ, то есть плательщик может его вообще не знать. При этом служба поддержки фактически рекомендует не следовать тем рекомендациям, которые выложил сам же monobank в своей "форме".

monobank имеет уязвимость – IBAN ошибочный - фото 10

monobank имеет уязвимость – IBAN ошибочный - фото 11

monobank имеет уязвимость – IBAN ошибочный - фото 12

Как следует из данных самого приложения, рекомендации Службы поддержки выполнить невозможно в принципе. Ведь поиск по ЕГРПОУ уже не работает и найти контрагента по нему невозможно.

monobank имеет уязвимость – IBAN ошибочный - фото 13

Шаблон monobank опасен

Еще более невероятные факты рассказал Анатолий Рогальский. Оказывается, никакого неизменного банковского шаблона в monobank как "фундамента" для точных реквизитов нет. Реквизиты контрагента сами подтягиваются под внесенные ранее другими клиентами данные при осуществлении платежа.

"Почему так произошло: когда клиент делает платеж по реквизитам, мы вносим данные в справочник, чтобы, когда другой клиент делает платеж по тем же реквизитам, ему не нужно было вводить все данные с нуля. Работает по принципу "предзаполнения" полей. Итого: один клиент сделал платеж, мы реквизиты сохранили. Другой клиент сделал поиск по IBAN, мы подтянули реквизиты с прошлого платежа. Показываем последние реквизиты, по которым была оплата в связке IBAN-ЕДРПОУ", – объясняет глава отдела маркетинга monobank.

Однако выводы топ-менеджера monobank не подтвердились на практике. Когда клиентка после возврата денег успешно совершила повторный платеж вручную, вопреки уверениям Рогальского, данные в банковском шаблоне так и не перезаписались по "правильному" платежу, ошибка продолжила генерироваться. Лишь после долгого сопротивления под логикой упрямых фактов в банке все-таки признали наличие уязвимости и пообещали ее разрешить: "Да, нашли ошибку, не перезаписали данные шаблона. Исправим".

Однако по состоянию на сегодня проблема так и не решена. Как следует из данных приложения monobank, работники банка подправили в шаблоне ЕГРПОУ, который изменился на правильный, но не тронули название компании-получателя. А это значит, что ошибка осталась, ведь оплата не сможет зайти на контрагента, чье название указано неправильно.

monobank имеет уязвимость – IBAN ошибочный - фото 14

Надеемся, что шаблон все-таки подправят, но наше расследование показало, что в monobank присутствует системная ошибка. Так, по словам Рогальского, ошибочный шаблон сформировался по первому неверному платежу, после чего продолжил генерировать ошибочные платежки и дальше на все последующие операции с этим IBAN.

Однако если банковский шаблон создается не реальным сотрудником банка, а автоматически формируется под платеж, сделанный неизвестно кем и с какой целью, то деньги клиентов monobank могут и в будущем уходить по "левым" счетам, причем это касается какого угодно контрагента, ведь люди доверяют IBAN.

В лучшем случае клиент потеряет несколько банковских дней, которые, тем не менее, могут привести к большим проблемам, если нужна была срочная оплата. Ведь если сумма крупная и продублировать платеж до возврата средств нет, а сроки горят, то штрафные санкции за неуплаченный вовремя кредит обеспечены.

В худшем случае отправленные таким образом в никуда деньги где-то зависнут, и, чтобы вернуть их назад, клиенту банка придется идти в суды, которые могут растянуться на годы. Специалисты видят угрозу в "шаблоне по предзаполнению" и указывают, что такой подход опасен и для самого банка, и для его клиентов.

"Это не договорной платеж, и "предзаполнение" может быть опасно для банка. По сути, их шаблоны могут быть вредны и сыграть против них", – считает Слободян.

Не только monobank

Банковские эксперты объясняют, что проблема на самом деле носит всеобъемлющий характер и касается не только monobank. Связано это с тем, что внедрение IBAN во всей банковской системы Украины в целом отличается от европейской практики, и подобные "сбои" фактически могут быть в любом банке. Чтобы их избежать, необходимо перепроверять при платеже не только IBAN, а все реквизиты, в том числе код ЕГРПОУ и название получателя.

"Нет единой базы, где забивают BankID – и сразу высвечиваются все достоверные данные по этому контрагенту. Каждый банк работает в рамках своей информационной политики. Поэтому необходимо проверять IBAN счет, название предприятия и счет ЕДРПОУ. По факту все вопросы к НБУ, потому что мы пошли в Европу, но не дошли. Нет единой базы обмена, нет единой базы хранения", – резюмирует аналитик финансовых рынков Василий Невмержицкий.

Таким образом по факту IBAN не упростил, а усложнил жизнь клиентам банков. Теперь нужно как перепроверять реквизиты по-старому, так и забивать 29-символьный международный номер счета.

Алексей Ермоленко

Новини

Популярні теми форуму

analytics