Всем привет! Это поучительная история, которая заставит всех овнеров платёжек лучше заботиться о своей безопасности.
Всё произошло 17 января.
Эти ребята (Спринг пей) связались с нами с запросом на интеграцию в ExWave, интересовались приемом в RU сегменте, в том числе как происходит процесс выплат. У нас эта система полностью автоматизирована (мультикаскад), SpringPay условия понравились и они готовы были провести интеграцию.
Завели мерчант аккаунт, добавили проект и началась процедура интеграции.
После успешного подключения, от них поступил платеж по СБП в 30 тыс. руб. с практически моментальным запросом на выплату. Можно было подумать что это лишь тестирование системы, проверка успешной интеграции, или просто проверка на скам, но все оказалось совсем иначе.
Наш технический отдел заметил что баланс у мерчаната ушёл в минус на 120 тыс. руб. и за секунду было создано 5 заявок на вывод на разные реквизиты.
Мы предположили, что наши новые "коллеги" просто перестарались в момент тестирования. К нашему счастью, и к их сожалению, наша система имеет защиту от подобного, и отклонила заявки.
Естественно, мы предупредили ребят из SpringPay о баге с их стороны, в момент создания заявки на выплату, на что получили довольно внятный ответ - "Передадим в тех отдел, обязательно учтем ваши замечания."
Больше они не выходили на связь, и мы про них благополучно забыли.
Вспомнили о них только вчера, когда обнаружили, что у них осталось 30к на балансе. Решили узнать все ли в порядке, и предупредить что остались деньги на балансе.
Но каково было наше удивление когда в чате были только удаленные аккаунты
Далее гугл подсказал что произошло.
Оказалось, что эта "платёга" была не плохим скам проектом. И что они пытались подобным образом расчехлить не только нас.
Ребята с ответственностью подошли к делу. Около месяца "грели" свою платёгу, покупая обзоры и прочее.
Но, в начале января начали проворачивать схему.
Схемка оказалась рабочей. На одном из отзовиков нашли представителя платёжной системы, которую удалось расчехлить на 20к$.
(Замазали название и прочее, чтобы не дискредитировать)
Если спринг пей залутал только с одной платёги 20к$ - то не удивляюсь, почему они забыли у нас 30к руб, когда у них ничего не вышло.
Интересно, сколько платёг они успели так расчехлить?
Так вот, овнеры платёг, что бы не попасть в подобную ситуацию, как платёга выше - проверьте абузоустойчивость, поставьте защиту и различные ограничения.
Ибо любой проект который пытается к вам интегрироваться - может оказаться скамом, который расчехлит ваш балик.
Спасибо всем кто прочитал! Удачи!
Если тут есть платёги которых расчехлили, можете поделиться своей историей ниже))