Все знают, что защитить свою информацию от чужих глаз и большого брата можно только в одном случае - если писать в стол. Однако, крупные компании делают все, чтобы доказать - информация пользователей защищена. Хотя бы формально. Что говорить о бизнесе и предпринимателях - для них без безопасность данных равна сохранности дела, денег и их товаров. Добраться до них, оказывается, проще некуда. Это было понятно, но стоило ли доказывать. Ozon, кажется, ошибся и сделал поворот не туда.

Еще 8 октября селлер маркетплейса обнаружила в личном кабинете странную находку. В графе «Сотрудники», которая прячется в настройках, она увидела нового пользователя и удивилась: она сама не заводила нового сотрудника, а коллеги сделать не могли это, просто потому, что их не существует.

А дальше логичный вопрос, прямо как в сказке - "Кто спал на моей кроватке?". Свое негодование селлер сразу поспешила выразить в официальном сообществе Ozon. Новость не понравилась никому.

Сообщения сразу вызвало шквал эмоций у селлеров. В первую очередь, потому что они направились в тот самый раздел "Настройки" и тоже обнаружили в числе сотрудников неизвестных пользователей.

Причем у всех продавцов такие сотрудники оказались зарегистрированными с электронных ящиков на домене от "Яндекса". Фразу "у всех" стоит понимать буквально. Только посмотрите, сколько отчетов о необычной находке оставили продавцы в комментариях к первому сообщению.

Без долгого и глубокого расследования все пришли к выводу - почты всех неизвестных сотрудников массово зарегистрированы на "Яндекс". Все почтовые ящики идентичны друг другу - отличается только номер, который, очевидно, является порядковым. Так что могло произойти - конкуренты из Маркета массово ворвались в святая святых продавцов Ozon?

Конечно, первое, что сделали продавцы с находкой - почистили личный кабинет и удалили из списка нового сотрудника. Позже, уже сам Ozon вышел на связь и сообщил, что паника была неуместной. Маркетплейс, конечно, виноват в том, что поднял панику, но напрягаться селлерам не стоит. Звучит как извинение, но не очень убедительное.

То есть Ozon собственноручно решил проверить работоспособность площадки и ее готовность к предстоящим распродажам. Последние, вроде как, проводятся не впервые, но раньше таких тестов маркетплейс не проводил. Возможно, аудитория площадки выросла так сильно, что она решила заранее подготовиться. Это уместно.

Но что мешало маркетплейсу заранее предупредить селлеров о будущем тестировании? Такой опыт у площадки есть. Кроме того, подобный доступ к личному кабинету не регламентрирован условиями договора Ozon с селлерами. Внимательно читаем соответствующий пункт документа от 7 октября 2020 года. Видно, что, по факту, такие действия не являются допустимыми. Сотрудники маркетплейса могут получить доступ к ЛК, только при подозрении относительно безопасности пароля пользователя. И даже в этом случае, речь не идет о доступе к личному кабинету, а именно о сбросе данных для входа. Как мы понимаем, в нынешней ситуации, безопасность паролей оказалась под угрозой именно по вине самого Ozon.

Продавцы, впрочем, попробовали порассуждать на эту тему и дальше. Если вы внимательно просматриваете все сообщения от маркетплейса, то знаете, что уже с 20 октября в договор оферты будут внесены новые изменения. Редакция нового договора от 20 октября уже доступна в личных кабинетах селлеров, но в силу вступить не должна - до актуальной даты еще больше недели.

Как видите, в новой редакции договора, появился отдельный пункт, связанный с доступом Ozon к личным кабинетам пользователей. Впрочем, даже такая поправка, вступи она в силу, не позволяет маркетплейсу без предупреждения вносить изменения в ЛК селлеров. Вчитайтесь - речь идет о доступе в случае, когда необходимо решить обращение продавцов в службу поддержки.

Получается, что Ozon, желая сделать благое, скомпрометировал себя. Ситуация не выглядит выигрышной со всех сторон. Начиная от использования почтовых ящиков на стороннем домене, заканчивая тем, что он решил внести изменения там, где не ступает нога чужого человека.

Интересно, после таких тестов, распродажа 11.11 пойдет по плану маркетплейса?

Кстати, Ozon заявил, что уже закончил все тесты и удалил новеньких сотрудников из личных кабинетов продавцов. Но вы, пожалуй, проверьте это сами. Заодно, замените пароли на новые. Если не от Ozon, то от мошенников вы себя обезопасить сможете.

Комментарии (19)


  1. pingwinator
    11.10.2021 11:55
    +3

    вот интересно, а как же у них обрабатываются письма от их домена? в чем разница.
    а вообще могли бы зарегать служебный домен ozon.dev или подобный

    странно что никого не смутило имя юзера как минимум


  1. shark14
    11.10.2021 12:04
    +6

    То есть если бы в процессе тестирования отфильтровали эти служебные емейлы и не показывали их просто продавцам, никто бы ничего и не заметил и все бы были довольны. Поторопились, как всегда, видимо.


  1. Francyz
    11.10.2021 12:08
    +20

    Понравилась фраза с отпиской: "Их не должны были видеть, поэтому их скрыли". Т.е. по факту они остались, просто теперь вы их не увидите.


  1. holodoz
    11.10.2021 12:57
    +5

    При всей моей нелюбви к Озону, как члену АКИТ, не вижу в договоре пункта, который бы запрещал генерировать левых сотрудников в ЛК. Договор составлен так, что у продавца — обязанности, а у Озона -— права. В личном кабинете продавец — всего лишь гость


  1. fpinger
    11.10.2021 13:02

    Ладно. Наблюдал некоторое время на озоне интересную другую ситуацию для клиентов. Вот ставишь товар в пинг, что появится. Тогда была книга, так тебя дрочат с озона, что появилась каждый месяц или два. А её нет. Понимаешь, что они тупо тебя проверяют на присутствие и суют другой булшит. Моя реакция?

    Там ещё проблема с тем, что раньше я по всей стране по всем популярным издательствам на озоне мог отследить новые книги. Теперь это не так. Булшит протухший в топе и вообще понятно, что подгузник наше всё. Это продажники брендов. У них лицо, подгузник и лезвия. Забил.

    Хуже только литрес. Если видите книге, которые можете купить на сайте издательства, то не покупайте на литресе. Они будут в таком виде, что даже вороны на кладбище вам посочувствуют и промолчат лишние пять минут.


    1. Barabas79
      11.10.2021 13:15

      Литрес больше подходит для покупок книг в цифровом формате и в этом плане у них хорошие цены (в основном за счет постоянных скидок, бонусов и т.д.)


      1. JustSkiv
        14.10.2021 17:19

        Качество и поддержка у них так себе. В какой-то момент у скачиваемых оттуда электронных книг сломались аннотации (во всяком случае, если экспортировать в iBooks). Долго пытался решить это с их сапортом. Они мне присылали какие-то адские письма, где сложно было найти полезный текст в ужасной вёрстке, плюс каждое письмо сопровождалось дублированной цепочкой более ранних сообщений.

        Но это ладно, пробился через дебри их кривой системы. Самое смешное — они просто с моей помощью пытались дебажить своё приложение — присылали кучу инструкций и вариантов книг — «а так работает? а теперь? а вот так?». Я даже шел навстречу сначала. Потом предложил им продолжить чинить самостоятельно. Мне ответили, что у них нет подходящих устройств (т.е. любых iOS устройств!) и, судя по всему, убрали проблему в долгий ящик, так и не починилось.

        А ещё у них есть весёлая подписка — платишь раз в месяц, забираешь на выбор любую книгу определенной стоимости. Я это использовал для себя больше как мотивацию к чтению, не ради выгоды. Но в один из месяцев я забыл забрать книжку и она «сгорела». Оказалось, что этот пункт прописан в правилах с очень сложной юридической формулировкой). Я даже пытался там искать самостоятельно до обращения в сапорт, но не осилил, не нашел. Понял только когда тыкнули пальцем.
        А вот на страничке с описанием подписки для «простых смертных» ни слова об этом, хотя это крайне важный момент, на мой взгляд. Плюс не было каких-то напоминаний или уведомлений о том, что «ваша книга скоро сгорит, поспешите забрать!». Ты просто оплачиваешь месяц и ничего не получаешь, профит.
        Книгу мне в итоге выдали (правда, не через интерфейс, а попросили скинуть название сапорту), но сказали что это лишь в качестве исключения.

        В общем, для меня литрес, это скорее красивая маркетинговая машина для выжимки денег. Клиентоориентированности и качества там не богато. Принципиально отменил подписку, а книги покупать там буду только при отсутствии других вариантов.


        1. JustSkiv
          14.10.2021 17:21

          Кстати, во время этой переписки я ещё имел платную подписку, в преимуществах которой было «Приоритетная поддержка». Не особо это помогло :)


  1. casuss
    11.10.2021 14:03
    -17

    Все знают, что защитить свою информацию от чужих глаз и большого брата можно только в одном случае - если писать в стол.

    Блин, ставьте ударения, пожалуйста.


    1. masai
      11.10.2021 14:15
      +10

      Здесь нет никакой необходимости в ударении, так как из контекста прекрасно понятно, какой из омографов имеется в виду.


  1. altervision
    11.10.2021 19:01
    +10

    Получается, Озон скриптом наштамповал учётных записей с несуществующей почтой, которую даже на Яндексе завести нельзя - плюсик в адресе там не поддерживается. Зайти в личный кабинет они точно не смогут, пароли там скорее всего случайные и нигде не хранятся, потому что не нужно это. Удалить и скрыть сразу забыли.

    Простые пользователи Озона вдруг обнаружили у себя эти служебные записи и придумали страшную легенду: сейчас сотрудники Озона придут и будут менять им цены и тырить критически важную информацию. Разумеется, учётная запись-болваничик была сразу же наделена всеми чертами живого сотрудника.

    Как бы донести до этих по истине мудрых пользователей Озона, что у Озона всегда, в любую секунду есть полный доступ ко всем их данным. Как минимум потому что все они лежат на серверах Озона. Они все от и до как на ладони. И у ответственных администраторов гарантировано есть доступ к личным кабинетам, данным восстановления пароля и ещё чему-нибудь - техподдержкой-то как-то надо заниматься.

    А страхи этих замечательных пользователей Озона попросту смешны.


    1. NerVik
      11.10.2021 19:57
      +5

      Плюсик в адресе не пропускается, но почту такую сделать можно, к любой существующей почте можно в конце добавить плюс и рандомным строку, будет бесконечное число почтовых ящиков которые на самом деле будут одной учётной, так удобно отслеживать какой сервис слил почту, например почту а тебя vasya@yandex.ru то при регистрации на хабре например указываешь vasya+habr@yandex.ru и в случае если тебе на эту почту начали спамить, то знаешь что ее слил Хабр.


      1. tmin10
        11.10.2021 20:20

        Потом как бы не оказалось что у такого аккаунта был пароль qwerty123 и доступ ко всем кабинетам был слит разом. Ведь фактически один аккаунт (одна почта) имел доступ по всему, хотя и не долго.


      1. pae174
        12.10.2021 21:30

        так удобно отслеживать какой сервис слил почту, например почту а тебя vasya@yandex.ru то при регистрации на хабре например указываешь vasya+habr@yandex.ru и в случае если тебе на эту почту начали спамить, то знаешь что ее слил Хабр.

        Спамеры прекрасно осведомлены об этой детской хитрости и умеют откусывать плюсик. Так что vasya+habr@yandex.ru видит свой плюсик в личном кабинете (ну или где он там его ввёл) но получает спам на vasya@yandex.ru .


    1. JustSkiv
      14.10.2021 13:18

      плюсик в адресе там не поддерживается

      Плюсик в адресе обычно игнорируется. Ну то есть, если у вас есть адрес vasya123@ya.ru, то вы можете указать где-нибудь: vasya+123@ya.ru, и письма будут приходить на тот же ящик.

      Эту возможность часто используют для разных тестов, чтобы не плодить 100500 ящиков.


  1. RomanTulenev
    11.10.2021 23:20

    Здравствуйте, я из Ozon Marketplace. Уже отвечали вам под статьёй на другом портале, продублируем и тут. Таким образом проверяли систему на прочность в преддверии высокого сезона. Нагружали её с помощью наших аккаунтов, один из которых партнёры могли заметить в своём личном кабинете: они абсолютно безобидны и умеют только искать ошибки в коде — сейчас мы их уже удалили. 

    Использовали «неродной» домен, так как ozon.ru не давал полноценно проверить влияние акции — потому решили использовать другой.

    Понимаем, что без предупреждения проверять работоспособность было не совсем корректным, и «спецоперация» смутила продавцов — простите, что заставили поволноваться. С коллегами обсудили произошедшее: подобного больше не допустим. И, кстати, сам тест успешно провели буквально за пару часов — к сезону готовы)


    1. n_nesterow
      12.10.2021 11:08
      +3

      Неужели у озона не хватает ресурсов для создания изолированного окружения (стенда) для проведения нагрузочных испытаний?


    1. MaxKozlov
      12.10.2021 14:52

      А яндекс не обиделся ? Их хотя бы предупредили ?
      Ведь письма туда должны "стучаться" к ним и нагружать их системы

      Ведь реально существующий домен использовали


      1. niko1aev
        12.10.2021 18:00

        Для Яндекса это очень смешная нагрузка. Допустим у Озон 10000 селлеров, даже 10000 почт это капля в море. А 10000 писем на одну и ту же почту и того смешнее