VKDonate — история о том, как «ВКонтакте» покрывает мошенников
Всем привет! Наша команда занимается расследованием мошеннических действий в сфере онлайн платежей, а данная статья получила своё начало после разговора с моим другом, который заподозрил "что-то нечистое" в одном из популярных сервисов.
Дисклеймер!
Данная статья носит исключительно информационный характер и не имеет цели кого-то оскорбить, все мнения высказанные автором являются оценочными суждениями и не направлены на оскорбление, уничижение достоинства человека. Мнения озвученные в данной статье также не преследуют целью дискриминировать, оскорбить или запугать кого бы то ни было. Продолжив прочтение данной статьи вы подтверждаете, то что ознакомились с дисклеймером.
По началу все было хорошо, но потом началось самое интересное. Сейчас вы погрузитесь в мир мошенничества с банковскими картами и платежными системами.
Ниже на скриншотах наглядно демонстрируется процесс оплаты(процесс пожертвования) в приложении. Оплата происходила на под-домене pay.mdeposit.net, если перейти на основной домен, то увидим "страницу-заглушку" доменного регистратора reg.ru. Часто вы встречаете платежные системы, у которых доменное имя получено совсем недавно, а на основной странице нет ничего? Думаю нет. На самом под-домене pay. Мы видим пустую страницу.
Начинаем расследование про mdeposit.net и в первую очередь обратимся в Telegram-канал BadBank. В данном канале публикуют плохие банки, черные платежные системы, которые сотрудничают с мошенниками и другими представителями нелегального мира.
Пары постов уже достаточно, чтобы понять, что мы имеем дело с нелегальной платежной системой.
Продолжаем копать глубже. Посмотрим, информацию о домене.
Видно, что домен создан совсем не давно, а точнее в 2020 году.
На странице оплаты mdeposit.net красиво расписано про соответствие мировым стандартам платежных систем, в том числе наличие сертификата PCI DSS (Payment Card Industry Data Security Standard — стандарт безопасности данных индустрии платежных карт, разработанный Советом по стандартам безопасности индустрии платежных карт, учрежденным международными платежными системами Visa, MasterCard, American Express, JCB и Discover.)
Идем в официальный сайт реестра VISA, чтобы проверить это: https://www.visa.com/splisting/searchGrsp.do
Приложив все усилия так и не удается найти компанию «mdeposit» в реестре VISA, которая занимается приемом платежей для сервиса VKDonate.
В интернете мало информации о «mdeposit», а по запросам в поисковиках находим это: ...
И другие страницы подобного содержания, но найти какую либо официальную информацию о компании «mdeposit» не выходит...
Вывод: «mdeposit» - мошенническая платежная система, предположительно работающая по известной мошеннической схеме. Оплачивая через такую платежную систему данные вашей банковской карты попадают в руки злоумышленников, о последствиях можно даже не говорить.
Что мы всё говорим о платежных системах, углубимся в само приложение VKDonate. И тут оказывается, что приложение тоже незаконно хранит и обрабатывает данные банковских карт, номер телефонов и другую персональную информацию своих пользователей.
VKDonate и владелец кардер (и нет, не Павлович)
Мы уже поняли, что VKDonate сотрудничает с мошенническими платежными системами, которые не против нелегально хранить данные ваших банковских карт, а в некоторых случаях и продавать на теневых формах.
Но изучив приложение более подробно, мы видим, что VKDonate самостоятельно обрабатывает данные банковских карт.
Установив приложение VKDonate можно добавить банковскую карту, после чего данные отправлялись на сервера приложения.
На скриншотах выше мы специально замаскировали персональные данные банковских карт, они также отображаются в приложении в открыто виде.
На сайте приложения (vkdonate.ru) находим пользовательское соглашение: https://vkdonate.ru/eula
Из пункта 1.8 узнаем владельца сервиса и идем в реестр РКН.
И не находим владельца сервиса VKDonate в реестре — соответственно сервис не имеет право осуществлять какую либо обработку персональных данных пользователей, тем более обработку номеров банковских карт вместе с информацией о владельце полученной из ВК.
Даже в самой политике конфиденциальности сервиса VKDonate - https://vkdonate.ru/privacy-policy не сказано про обработку номеров банковских карт сервисом.
ИП Смирнов Владимир Юрьевич (VKDonate) на момент написания статьи отсутствует в реестре https://www.visa.com/splisting/searchGrsp.do, а соответственно не имеет сертификата PCI DSS — следовательно не имеет право на обработку данных банковских карт.
Стандарт PCI DSS ориентирован на защиту основного номера держателя карты (PAN). Для получения сертификата PCI DSS необходимо прохождение специальной процедуры проверки.
Письмо в Роскомнадзор о нарушениях VKDonate
Один из участников нашей команды направил обращение в Роскомнадзор о нарушениях VKDonate.
Если компания планирует собирать сведения о физических лицах, она должна уведомить об этом Роскомнадзор сразу же после регистрации. Причем уведомить ведомство о намерении обрабатывать персональные данные граждан нужно до начала обработки сведении (ст. 22 Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных»). Это и было основной причиной для обращения в Роскомнадзор.
Был получен официальный ответ с запросом дополнительных сведений. Собрана необходимая информация и направлена в Роскомнадзор. Сейчас обращение еще в процессе обработки. Но мы продолжаем надеяться, что Роскомнадзор примет его во внимание и будут приняты соответствующие меры в сторону приложения VKDonate.
Также по нашим данным Роскомнадзор направили информацию о сервисе в ФНС Санкт-Петербурга.
Обращение в официальную поддержку ВКонтакте
Также мы обратились в официальную поддержку ВКонтакте.
Получили первичный ответ и начали ждать. Совсем скоро поступили вопросы с уточнением некоторых сведений на который мы дали ответы.
Еще немного ожидания и получаем ответ от поддержки.
Мы можем выразить отдельную благодарность конкретным лицам со стороны поддержки ВКонтакте, которые занимались данным вопросам. Все ответы были получены оперативно.
Скоро поступила первая реакция от VKDonate.
Казалось бы почти все нарушения исправлены? Но не все так просто в нашем мире.
Мы подождали пока сервис вернется к работе, чтобы подробно изучить новую схему работы VKDonate, а как оказалось позже мошенническую схему :)
Совсем скоро, а точнее 19 июля был опубликован новый пост в официальном сообществе сервиса, в котором говориться о том, что система выплат переделана, с учетом новых требований ВКонтакте. Когда это соблюдение законов стали требованиями ВКонтакте? Но теперь мы четко понимаем, что вероятнее всего это реакция на работу поддержки ВКонтакте.
Новая схема работы мошенников 2.0
Пробуем сделать новый донат. Выберем способ оплаты банковской картой.
Видим подозрительно похожую платежную форму, но раньше домен был
mdeposit.net, а теперь форма расположена на pay.cypix.ru. Еще добавили логотип CYPIX. Уже по форме оплаты можно понять, что это старая платежная система, только на новом домене. Смена доменов уже является причиной для подозрения. Но мы идем дальше.
Изучив api.cypix.ru и api.mdeposit.net мы видим, что их сервера находятся в Finland у HETZNER. Возможно и совпадение, что оба сервера находятся у одного облачного провайдера. Но это еще один + к тому, что оба домена принадлежат одному и тому же человеку.
Хорошо, теперь мы знаем, что скорее всего cypix.ru это просто новый домен старого mdeposit.net. Может быть и они исправились и теперь обрабатывают платежи законно? Посмотрим...
Не долго думая нажимаем на логотип CYPIX в платежной форме и попадаем на сайт платежной системы https://cypix.ru/.
Идём в раздел "Официальные документы", находим публичную оферту CYPIX
Сразу обращаем внимание на то, что CYPIX по договору оферты работает через РНКО "РИБ". Заходим на официальный сайт ribank.ru, и наблюдаем очень интересный текст.
Заходим на официальный сайт ЦБ РФ и ищем там РНКО "РИБ", и находим
Находим подтверждение отсутствие лицензии у РНКО "РИБ", что соответственно говорит нам о том, что возможно ранее CYPIX и работали через данное РНКО, но на данный момент такое не возможно, что ещё раз доказывает нелегальность операций через CYPIX.
Также в попытках найти CYPIX в официальном реестре VISA, оказалось что сертификата PCI DSS у них также нет. Как мы уже помним, обрабатывать данные банковских карт без данного сертификата нельзя.
На официальном сайте CYPIX есть информация о наличии PCI DSS, но без какого либо подтверждения или ссылок на сертификат, а как мы уже знаем "черные платежные системы" любят рисовать себе логотипы платежных систем и сертификатов безопасности в надежде на то, что не опытные пользователи ничего в этом не понимают.
Дальше идем обратно в само приложение VKDonate и пробуем привязать банковскую карту для выплат.
Наблюдаем, что привязка банковских карт для выплат также осуществляется через CYPIX, который не имеет права работать с банковскими картами, как мы выяснили ранее.
Привязка QIWI также идет через CYPIX, обычно платежные системы не предоставляют такую возможность, потому что для сохранения номера телефона пользователя не требуется прохождения специальной сертификации, а достаточно будет обеспечить надежную защиту и уведомить Роскомнадзор.
Репутация VKDonate
Теперь рассмотрим репутацию сервиса. Для начала пойдем в официальное сообщество сервиса VKDonate — vk.com/public166154096
Наблюдаем множество негативных отзывов, которые можно продолжать бесконечно. Основные жалобы пользователей это: проблемы с выплатами, перебои в работе сервиса. Также нами было замечено активное удаление негативных отзывов и комментариев со стороны администрации сообщества приложения VKDonate.
Еще можно заметить, что сервис подвергался взлому. Был это взлом или владелец сервиса сделал это специально, чтобы забрать побольше денег утверждать сложно, но это еще один жирный минус у репутации сервиса
Кто тот самый кардер и мошенник?
Смирнов Владимир Юрьевич, исходя из официальных
документов VKDonate является владельцем данного мошеннического сервиса.
Страница ВКонтакте владельца сервиса: vk.com/id15671490
Данные об ИП Смирнов Владимир Юрьевич:
- ОГРНИП 318470400086974
- ИНН 472554155921
- Дата регистрации 2 октября 2018 г.
- Вид предпринимательства Индивидуальный предприниматель
Данная информация может помочь при обращении пользователей в официальные государственные службы.
Подведём итоги
VKDonate в лице ИП Смирнов Владимир Юрьевич, является мошенническим сервисом, который нарушает законы о хранении персональных данных, незаконно хранит и обрабатывает данные банковских карт и/или сотрудничает с мошенническими платежными системами, такими как mdeposit.net и/или CYPIX, которые в свою очередь также незаконно обрабатывают персональные данные и банковские карты. Также можно сделать вывода о нарушениях налогового законодательства, так как основная масса платежей проходит в "серую". И выводы о том, что социальная сеть ВКонтакте не спешит
принять меры по блокировки и/или ограничению деятельности VKDonate на своей платформе VK Mini Apps.
Мы надеемся, что все пользователи, изучившие данную стать и/или подвергнутые мошенническим действиям со стороны VKDonate помогут расследованию и направят обращения в соответствующие государственные органы и официальную поддержку ВКонтакте.
Список основных государственных служб:
- Роскомнадзор, если ваши права в сфере персональных данных были нарушены или если вы заметили другие факты нарушения в сфере обработки, хранения персональных данных.
- МВД РФ, если вы были подвергнуты мошенническим действиям.
- ФНС России, если вы заметили нарушения в сфере налогов.
Спасибо за прочтение данной статьи! До связи
Обновлено 7 авг. 00:48
ВКонтакте быстро отреагировали на данную статью и заблокировали приложение VKDonate до выяснения всех обстоятельств.
Мы провели внутреннюю проверку мини-приложения. Разработчик предоставил нам все необходимые документы и сертификаты в полном объёме. У нас нет оснований полагать, что сервис нарушает законодательство и хранит персональные данные. Ошибки, о которых говорится в статье, были исправлены администратором ранее. Поэтому мы разблокировали мини-приложение.
Отдельно хотелось бы отметить, что по данным консалтинговой компании Compliance Control платёжный агрегатор Cypix сертифицирован по стандарту PCI DSS.
Мы благодарны автору статьи за бдительность и готовы ответить на любые возникающие вопросы касательно платформы VK Mini Apps. Если в будущем появятся основания считать, что мини-приложение, о котором говорится в статье, нарушает правила платформы или законодательство, мы готовы оперативно рассмотреть вопрос о его блокировке или удалении.
Насколько я понимаю из комментариев, по какой-то несчастливой случайности нам повезло оказаться в разборках между конкурентами из одной отрасли.
И, очевидно, из-за нехватки информации в публичном доступе, авторы сделали поспешные выводы о законности нашей работы.
Хочется успокоить всех неравнодушных и разочаровать команду любителей расследований, платежный агрегатор Сайпикс работает на платежном рынке давно и полностью соблюдает все требования законодательства и регуляторов:
(Правда не является «платежной системой» , на данный момент этот статус закреплен законодательством и может использоваться только (Visa, Mastercard или НСПК), но авторы статьи, вероятно, не сильно погружены в тему финансов, этим и объясняется та легкость навешивания ярлыков).
В частности, инфраструктура ООО «Сайпикс» регулярно проходит процедуру тестирования и имеет действующий сертификат PCI DSS Level1. Данные плательщиков передаются в банк по защищенным каналам и обрабатываются только в защищенном контуре.
Также, экспертам рынка, коими очевидно являются авторы статьи, следовало бы знать, что наличие сертификата PCI DSS и его валидность можно проверить, лишь сделав запрос в одну из компаний QSA-аудитора (Qualified Security Assessor), которые и проводят сертификацию всех, кто занимается передачей платежных данных.
Касаемо отсутствия компании Сайпикс в реестре VISA. В данном реестре приведены только сертифицированные сервис-провайдеры, работающие с Visa напрямую, и имеющие в своем составе банковскую структуру. Компания Сайпикс работает только с банками как технический агрегатор, не управляя финансами. Легко заметить, как мало компаний из большого списка российских агрегаторов там присутствуют.
Что касается наличия оферты банка РИБ на нашем сайте. Данная оферта описывает условия использования продукта «мобильный платеж Сайпикс», реализованный нашей компанией в 2017 году для одного из региональных операторов. РИБ являлся расчетным банком как и для множества других агрегаторов мобильных платежей. Данный проект был закрыт в 2020 г.. Это единственная услуга, которая оказывалась физическим лицам. Для услуг эквайринга эта оферта неприменима, услуга оказывается юридическим лицам. Само по себе наличие документа на сайте – не является нарушением. Вывод – плохо прочитали документ, притянули факт.
С удивлением хочется отметить, что автор статьи при подготовке материала не удосужился обратиться с вопросами, касающимися нашей компании к представителям.
Мы бы дали исчерпывающие ответы и ему не пришлось бы «расследовать» и строить догадки.
Хочется надеяться, что на этот раз будут сделаны правильные выводы, возможно статья будет подвергнута корректировке?
Мы подробно изучим все материалы. До выяснения всех обстоятельств мы приостановили работу сервиса.
А вам не кажется, что вы малость с плеча рубите? Статья состоит из домыслов, а вы людям бизнес блокируете (сам я никак не связан с вкдонатом).
В статье с самого начала человек делает "великолепные" выводы: посмотрите, этим сервисом мошенники пользуются, значит сервис мошеннический! Может тогда и сбер заблокируете - им тоже мошенники для переводов пользуются.
Ну а то, как "команда расследователей" вписывает в поле "Название компании" адрес сайта и закономерно ничего не наход - это, вообще, феерично.
Это всё, конечно, печально, но можно хотя бы пару дней поработать над собственным сервисом донатов от ВК? Добавить возможность поменять выбивающуюся из стиля громоздкую иконку, заголовок и надпись кнопки на этой панели, например? Заблокированный сервис позволял всё это делать.
Ну и было бы неплохо, если бы появились полноценные рейтинги донатеров, их пожелания и всё в этом духе. Тогда люди бы охотнее пользовались официальными донатами, а не сторонними сервисами с сомнительной репутацией.
Как написал комментатор выше — приложение Донаты сделано одним человеком на коленке. Особенно учитывая нишу — геморроя с принятием платежей и выплатами физ. лицам очень много.
Понятно, что будут косяки и я не говорю, что несоблюдение закона со стороны приложения отсутствует, но мы все с вами знаем, в какой стране живём и как тут работают законы.
Интереснее, кому в голову может прийти идея потратить столько времени чтобы написать подобное расследование. Какой мотив.
Копать долго не пришлось, написано всё конкурентами VKDonate, авторами такого же приложения для сбора донатов во ВКонтакте "Кибердонаты" (https://vk.com/cyberdonate).
Автору приложения ИП Александру Гапаку судя по его странице ВКонтакте 17 лет и видно, что в нём бурлит молодая кровь, а идея громко слить главного конкурента не дает покоя.
Что же, дам ребятам совет — концентрироваться на себе, а не подсирать другим. Будет больше толку.