На выходных вокруг JD.com развернулась не очень приятная история - компания отменила свою промо-акцию, а в сайте нашли дырку, через которую можно было получить личные данные пользователей. Компания объяснила все неизвестными хакерами и происками конкурентов - и на этом могло бы все и закончиться. Если бы основатель Mobile-review.com Эльдар Муртазин не рассказал, как пиарщики JD пришли к нему и предложили ему написать пост о том, "как нас испугались конкуренты и стали делать гадости". А за потраченное время пообещали вознаграждение в 3000 рублей + 10 купонов по $10 на покупки.
Началось все с поста на Geektimes в ночь с 23 на 24 октября. Пользователь рассказал, как JD 23 октября объявил об акции:
Купоны номиналом 10$ раздавались всем и вся и действовали на покупки от 10.01$. Т.е. фактически выходит, что огромное количество товаров можно получить за какие-то копейки (почти «бесплатно»). Основной метод получения купонов — просто делишься кодом с кем-нибудь, он регистрируется и получает 10$, и ты тоже получаешь 10$.
Хотя купоны можно было получать до 30 ноября, акция остановилась уже через несколько часов, а все уже полученные купоны обнулились.
Кроме того, нашлась дыра в сайте - методом перебора можно было подобрать ссылку и увидеть заказ другого человека вместе с его данными - именем, адресом, телефоном.
К 7 утра 24 октября (через 8 часов после публикации поста) эту уязвимость частично прикрыли, говорит пользователь - список чужих покупок по-прежнему виден, но получить другие пользовательские данные уже нельзя.
Комментарии JD появились только днем 26 октября, утечку данных компания объясняла "неизвестными хакерами", которые и стали причиной "неадекватного отображения информации некоторых заказов". Стремительно закончившуюся акцию в компании объяснили случаями мошенничества и пообещали вернуться с более прозрачными условиями акции.
Мы не знаем и предположений строить не будем, кто совершил атаку на нашу площадку. Понимаем, конкуренты «не спят» и предложение качественной электроники, а именно смартфонов ведущих международных брендов, по лучшим ценам для российского потребителя, не устраивает многих.
Хотя топикстартер на Geektimes в комментариях приводит аргументы в пользу того, что утечка данных - ответственность самой JD, а не неизвестных злоумышленников, история могла бы на этом и закончиться. Но внезапно она продолжилась благодаря пиару JD в России и основателю Mobile-review.com.
Вечером 26 октября Эльдар Муртазин в своем блоге рассказал, как представитель JD написала с предложением разместить пост о том, что у JD все хорошо, а виноваты во всем хакеры. За публикацию предполагалось вознаграждение - 3000 рублей.
Позже, еще один представитель JD пришел в комментарии фейсбука журналиста Gazeta.ru Дмитрия Бевзы и попросил не обсуждать JD "в подобном ключе".
JD появился на российском рынке в июне 2015 года. Запуск не прошел гладко - у сайта были технические проблемы, вплоть до невозможности оформить покупку. Впрочем, гендиректор российского подразделения Виктор Сюй был настроен довольно спокойно, отмечая, что компания приходит в Россию надолго и основательно: "Мы не говорим про большие цифры, не говорим, что сразу хотим выйти на большой объем. Мы не спешим. Первое дело — оптимизировать сервис, работающий вокруг ожиданий потребителей, получить хорошие отзывы".
Добавить 7 комментариев
Про самое вкусное не стали писать? Из поста Муртазина:
>Со Светланой на связь я не выходил, но в твитере поделился сутью ее предложения. А вот дальше девушку понесло от души, приведу выдержки из сообщений, которые я тут же транслировал в тви:
>Вам по ошибке было направлено предыдущее письмо и ВАМ никто НИЧЕГО не предлагал. УДАЛИТЕ письмо немедленно
>Как мне принести извинения, чтобы вы перестали писать в твиттер????? пришлите ваши яндекс деньги
>Вы не мужчина. Нельзя выкладывать личные письма в соцсети. Мой парень вас найдет.
Интересно, что Роем не счел эту историю (про JD, не про Муртазина) достойной упоминания.
Протупили, пришлось догонять хотя бы так.
Интересно, а если бы «Светлана» написала Муртазину со словами «Я от Али и напишите, что конкуренты обижают Ali, вот тебе 3000» — сейчас бы тонны г. лились на Ali? В таком случае прекрасное использование блоггера для конкурентной борьбы, надо взять на заметку.
И все повелись, да? Медиапредставитель с почтой gmail? Я тоже тогда — представитель, Apple в России. Хотя и вероятно, т.к. Китайские представительства в большинстве не пойми кто и что… Но скорее поверю в чью-то шутку. Анжела тоже вызывает сомнения, хоть Муртазин и говорит, что она реальна :)
Есть очень правильный пост в, подозреваю проплаченном, блоге, посвященном JD: http://jdcom.ru/show-article/83.html
Ну слили, и? Если боитесь, что вас будут отвлекать звонками — открою страшный секрет: базы операторов сливают куда профессиональней. Если у вас даже есть доказательства этого — вас пошлют с вашими заявлениями. Симки сейчас уже продаются «грязными».
Адрес? И? Пробивается он на раз без JD. Вы его указывайте куда чаще даже, чем телефон.
Ошибка, безусловно, есть. Но все-равно, вброс ради вброса, по-моему.
Ничем не защищённые от перебора заказы на небольших площадках, вообще говоря, популярный баг. Программист видимо решил, что заказы майнить никто не будет, а в требованиях было небось что-то вроде «чтобы из письма с подтверждением заказ открывался без авторизации». Банальная же вещь, случается.
Обидно, конечно, и внутри компании есть кому и за что сделать выговор с занесением, но зачем было какими-то хакерами оправдываться и пытаться блоггеров купить? Теперь скандал такой, что магазин вечно будет ассоциироваться с утечкой персональных данных. Кто-то там явно у них не умеет в риск менеджмент
Так не бывает, вы что. Не будет магазин ни с чем ассоциироваться. Это не принято.
После каждого из случая ниже, в имиджевом смысле, на розничном рынке с компаниями не случилось вообще ничего. И они ни с чем плохим не ассоциируются. А случае бывают разные:
утекли данные 20 млн аккаунтов дейтинга Topface → Roem.ru
около десяти тысяч банковских карт клиентов РЖД были скомпрометированы через платежный шлюз ВТБ24. ВТБ24 и РЖД → Roem.ru
Мегафон слил в Яндекс (без вины Яндекса) пользовательские смски → Roem.ru
Нашисты заполучили данные в Яндекс.Деньга. В этом случае данные даже ограниченно применялись в бою → Roem.ru
Почему пользователей Visa Qiwi Wallet массово заставляют менять пароли? (Qiwi утверждает, что это для «вступления алгоритмов безопасности в силу») → Roem.ru
ВТБ, РЖД, Сбербанковские Яндекс.Деньги, сломанные Qiwi, Мегафон, Топфейс — все совершенно обычные в имиджевом смысле компании. Правда? Ни малейшего шлейфа за ними нет.