Результаты аудита

Комплексная оценка безопасности — 2026-02-13

0/ 100

Общий балл

Безопасность

0/ 100

Подробнее

Комплаенс

-2

0/ 100

Подробнее

Надёжность

+10

0/ 100

Подробнее

Приватность

—

0/ 100

Подробнее

Ключевые находки

4 проблем обнаружено

HighРешеноP1

Session Hijacking Risk — перехват сессии и выпуск карты

ВлияниеЗлоумышленник может перехватить сессию и выпустить карту на себя.

ЭксплуатируемостьСредняя

РекомендацияПринудительная привязка сессии к IP и Device Fingerprint.

MediumВ работеP2

BIN Health Fluctuation — карты серий отклоняются Google Ads

ВлияниеКарты определённых BIN-серий часто отклоняются рекламными платформами.

ЭксплуатируемостьНизкая

РекомендацияРотация BIN-номеров на основе репутации эмитента.

MediumРешеноP2

Отсутствие 2FA для внутренних переводов

ВлияниеСписание средств с баланса ЛК без дополнительного подтверждения.

ЭксплуатируемостьСредняя

РекомендацияОбязательный 2FA (TOTP/Telegram) для всех переводов.

LowРешеноP3

Verbose API Errors — утечка структуры БД в 500-х ответах

ВлияниеAPI выдаёт детали внутренней структуры при ошибках.

ЭксплуатируемостьНизкая

РекомендацияКастомные generic-ответы для 4xx/5xx ошибок.

Техническая инфраструктура

Аудит архитектуры движения денег и данных

Транзакционный шлюз

TX_GATEWAY

Crypto-to-Fiat Bridge: аудит протокола обмена. Проверка на уязвимость к арбитражным атакам при задержке курса. Шифрование TLS 1.3, HSM для подписи транзакций.

Crypto-to-FiatTLS 1.3HSM SigningAnti-Arbitrage

Изоляция данных

DATA_SILOS

Vault Storage: хранение PAN и CVV в изолированном контуре без доступа админов бэкенда. Интерфейс показывает только токены; реальные данные запрашиваются через защищённый прокси.

PCI VaultPAN TokenizationZero Admin AccessSecure Proxy

BIN Integrity

BIN_INTEGRITY

Multi-Issuing: несколько банков-эмитентов. Система автоматически переключает выпуск карт на резервный банк при санкциях или проверке. Load Balancing банковских API.

Multi-IssuingAuto-SwitchLoad BalancingHealth Monitor

AML Engine

AML_ENGINE

Автоматическая проверка входящей крипты через Chainalysis/Crystal. Scoring транзакций в реальном времени. Блокировка подозрительных переводов до manual review.

ChainalysisCrystalReal-time ScoreManual Review

Mass Payouts

PAYOUT_PIPE

Многоуровневая система массовых выплат: batch-processing до 10K транзакций, retry-очереди с экспоненциальным backoff, reconciliation с банковскими выписками.

Batch 10KRetry QueueReconciliationMulti-Currency

Регуляторный модуль

REG_MODULE

BVI как основная юрисдикция, польская компания с VASP-лицензией (MiCA). Раздельный учёт фиатных и криптовалютных потоков. Автоматическая отчётность.

BVI CorpVASP (MiCA)Dual AccountingAuto Reports

payment_flow.sh

  ┌─────────────────────────────────────────────────────────────────┐
  │                OMYPAYMENTS — TRANSACTION FLOW                   │
  └─────────────────────────────────────────────────────────────────┘

  [User Wallet] ──USDT/BTC──► [Crypto Gateway]
                                    │
                                    ├─► AML Screening (Chainalysis/Crystal)
                                    │       └─► Score > threshold → proceed
                                    │       └─► Score < threshold → manual_review
                                    │
                                    ├─► Crypto-to-Fiat Bridge
                                    │       └─► Rate lock (30s window, anti-arbitrage)
                                    │       └─► HSM-signed settlement
                                    │
                                    └─► Card Issuing Pipeline
                                            │
                                            ├─► BIN Selection (reputation-based rotation)
                                            ├─► PCI Vault (PAN + CVV isolation)
                                            └─► Tokenized response → User Dashboard

  [Mass Payout] ──batch──► [Payout Engine]
                                │
                                ├─► Validation + sanctions check
                                ├─► Multi-bank distribution (failover)
                                └─► Reconciliation ← Bank statements

  Vault:  HashiCorp (PAN/CVV)  |  Zero admin access to raw data
  KYC:    Sumsub L1-L3         |  VASP (MiCA) — Poland
  Corp:   BVI (main)           |  PL (VASP licensed)

Скоуп пентеста

Чек-лист для расширенного тестирования

IDORРешено

Insecure Direct Object Reference

Можно ли подменить ID в запросе и получить список карт другого пользователя?

CVV_BRUTEРешено

Brute-force CVV

Защищена ли форма просмотра данных карты от автоматического подбора CVV?

MONEY_OVERFLOWРешено

Negative Amount Injection

Можно ли отправить отрицательную сумму при пополнении (классический баг финтеха)?

RACE_CONDВ работе

Race Condition на балансе

Двойное списание при параллельных запросах к API баланса.

Трекер исправлений

Прогресс3 / 4 решено

Всего проблем

Решено

В работе

Открыто

По критичности

1 High2 Medium1 Low