Face.Pay.May: в мае автобусы Москвы начинают тесты «оплаты лицом»

Face.Pay.May: в мае автобусы Москвы начинают тесты «оплаты лицом»

Face.Pay.May: в мае автобусы Москвы начинают тесты «оплаты лицом»

Тест-драйвы Face Pay на московском наземном транспорте начнутся в мае. Об этом накануне заявили в столичном Департаменте транспорта. Первую фокус-группу из ста человек планируют сформировать уже до конца апреля.

Face Pay — бесконтактный способ оплаты, когда списание средств подтверждается биометрическими данными лица.

Осенью система начала работать в московском метро, теперь её поднимают и наверх.

Принцип работы Face Pay идентичен: клиенты регистрируются в мобильном приложении (в подземке это Метро Москвы) и «привязывают» к аккаунту фотографию лица, “Тройку” и банковскую карту. В метро пассажир должен выбрать турникет с черным стикером на полу и посмотреть в камеру.

Сбор таких персональных данных вызывает закономерный вопрос их конфиденциальности, безопасности и защиты. В Дептрансе заявляют: все серверы находятся в России, отключить их международными санкциями невозможно.

Сами данные хранятся на стороне банка ВТБ, технологическим партнером выступает компания VisionLabs. Изображение лица шифруется в биометрический дескриптор (уникальный идентификатор), и система привязывает его к банковской карте. Face Pay использует нейросети и способен узнать человека даже в маске.

В Дептрансе утверждают, что не хранят сами изображения, а только их зашифрованные ключи. Камера считывает такой код и сравнивает с сохраненным, а все платежные данные пользователей системы держит у себя банк.

Не забудьте только прочитать согласие, которое Вы даете при регистрации на Face Pay. Там есть такие пункты:

OpenClaw взломали через WhatsApp: ИИ-ассистент мог отдать доступ к хосту

В OpenClaw нашли сразу три серьёзные уязвимости, которые позволяли красть учетные данные, повышать привилегии и выполнять произвольный код в системе, где запущен ИИ-ассистент. Две ошибки получили оценку 8,8 из 10 по шкале CVSS.

Они были связаны с фильтрацией команд: защитный механизм блокировал не все опасные входные данные, поэтому злоумышленник мог протащить системную команду туда, где ей быть совсем не положено.

Третья уязвимость с рейтингом 8,4 позволяла обходить ограничения песочницы через монтирование родительских каталогов. OpenClaw запрещал прямой доступ к папкам вроде ~/.ssh, ~/.aws и ~/.gnupg, но при этом мог разрешить подключить весь каталог /home. После этого SSH-ключи, облачные токены и GPG-секреты оказывались буквально на столе.

 

Еще веселее с /var: через него атакующий мог добраться до сокета Docker и выбраться из песочницы прямо на хост.

Исследователь Чинмохан Наяк утверждает, что атаку можно было запустить внешним сообщением через WhatsApp (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России) без предварительного доступа к системе. В худшем сценарии злоумышленник получал данные, закреплялся в системе и выполнял код на машине владельца.

 

Разработчики закрыли все три дыры в OpenClaw 2026.6.6. Пользователям советуют срочно обновиться, включить песочницу для всех второстепенных сессий, убрать exec из разрешенных инструментов и максимально сузить списки доверенных каналов.

RSS: Новости на портале Anti-Malware.ru