Qiwi: как потерять доступ к деньгам из-за банального бага

...и как вам (а баг может касаться и вас, необходимые и достаточные условия см. в последних абзацах) никто не поможет.

Как вы, возможно, знаете, время от времени «Киви» сообщает, что ваш (только что верно введенный) пароль «истек», и ультимативно требует установить новый. Это у них зовется «заботой о безопасности».

В наш век, когда в тот же «Сбербанк-онлайн» любого пускают вообще без пароля (даже если вы его установили), это выглядит очень мило и традиционно, я бы даже мысленно поставил плюсик в карму, но чу!: я ввожу новый пароль, ввожу цифирь из SMS, но в итоге получаю лишь туманное:

Seems like something isn’t going right. Try again later

Qiwi: как потерять доступ к деньгам из-за банального бага

И всё! Это тупик. Доступа к кошельку и ко всех средствам в нем у меня больше просто нет.

Пишу в веб-чат — разводят руками и якобы составляют «заявку к техническим специалистам».

Мысленно соглашаюсь, что дело тут действительно в каком-то программном баге на их стороне — насколько редком, что даже сообщение об ошибке не удосужились перевести на русский, поэтому просто жду… жду… еще жду…

И ровно через 4 (четыре) месяца получаю шаблонное «Повторите, пожалуйста, попытку восстановления пароля». Из чего можно понять, что за все это время «технические специалисты» написанное даже и не подумали толком прочитать (напоминаю: пароль никуда не терялся, это «Киви» его инвалидировала).

Но может быть, это придирка по форме, а по-существу все решилось? Но нет — ни черта не изменилось: something по прежнему isn’t going right.

Окей. Киви — птица гордая: пока не пнешь, не полетит.

Звоню на «горячую линию»: оператор с трудом находит развалившуюся на несколько тикетов* переписку, много извиняется, над чем-то там колдует минут семь под релаксирующую музыку, но все, что по итогу может предложить — это «повысить приоритет заявки». Просто оставить старый пароль в покое нельзя, подтвердить смену по телефону нельзя, обналичить деньги — упаси боже.

Сколько же займет хотя бы прочтение «приоритетной» заявки, если на обычную ушло четыре месяца? — спросите вы. Спросил и я. Ответ был: ждите письма по существу не более, чем через трое суток.

На обещанные три дня, конечно, не надеемся, ждем пять… тишина.

Звоним еще раз: оператор с трудом находит развалившуюся на несколько тикетов переписку, много извиняется, над чем-то там колдует минут семь… Стоп. Дежа вю? Да нет, все, что по итогу мне могут предложить — это опять «повысить приоритет».

Прогресс, однако, есть: на сей раз обещают, что все рассмотрят в течение одних суток.

«Одни сутки» длятся уже неделю.

Итого: по неведомой самой «Киви» причине — из-за какой-то программной ошибки на их стороне — человеку фактически могут заморозить весь баланс; и за много месяцев «технические специалисты» не удосужились уделить ей даже минимальное внимание.

И в качестве вишенки на торте: пройдет еще немного времени, и (как пить дать) деньги начнут списывать в оплату за «неактивность».

Ну а пока дважды «приоритетная» заявка пылится в очереди, было бы небезынтересно самому погадать, что же это за баг такой.

Посмотрим чуть более вооруженным взглядом: нелокализованная строчка прилетает в таком вот payloadʼе в 401-ответе на post-запрос к https://qiwi.com/oauth/authorize:

{ "error": "server_error", "error_description": "Email code generation failed.", "error_code": "700", "user_message": "Seems like something isn’t going right. Try again later." }

«Email code generation failed» — это, согласитесь, уже куда понятнее, чем «Seems like something isn’t going right». Почему скрываем это от пользователя? Непонятно.

Так или иначе, условия попадания в этот тупик проясняются: во-первых, у «Киви» в опциях есть галочка «использовать [почту] для изменения пароля», и наверняка у меня она включена, тогда как по-умолчанию, а значит и у большинства — нет.

А во-вторых, общеизвестен дурной паттерн проверять почтовый адрес на якобы «валидность» до того, как туда что-то отправлять. Известно также, что ряд таких проверок дает ложноотрицательный ответ на адресах с плюсом (+) в логине типа firstname+label@lastname.ru. И такой адрес — это точно мой случай.

Осталось найти лишний номерок телефона, чтобы создать новый кошелек, и проверить догадку — и эврика! Все так, и даже хуже: привязать почту вида login+label@domain.tld до сих пор можно (код подтверждения на нее приходит успешно), а получить на нее после этого код для смены пароля — нет.

При этом пока вам еще не обнулили пароль, сменить почту вполне можно, так что если кто тоже любит plus addressing — бросаться судорожно искать, как бы вывести весь баланс не обязательно. ;-)

* QW16452033, QW16629470, QW16676045

1414
реклама
разместить
14 комментариев

Дмитрий, здравствуйте!

Признаемся — краснели, когда читали вашу статью. Затягивать вопрос с восстановлением пароля нельзя, и мы уже взяли заявки в работу.

Обещаем больше не теряться, свяжемся с вами завтра и поможем вернуть доступ к кошельку.

Ох, лол. Действительно связались:

«Для рассмотрения вашего обращения, пожалуйста, в ответном письме пришлите ваше фото с паспортом в руках. Сделайте селфи так, чтобы мы четко видели ваше лицо, паспортные данные и фото в паспорте. Необходимо фотографировать в хорошем разрешении (более 1 МБ, но менее 10 МБ), не допускается использование графических редакторов, без зеркального отображения».

Нет, умом я понимаю, что вместо решения проблемы в целом решили пока что побыстрее разобраться с моим частным случаем по протоколу утери доступа к почте, но почему-то все-равно не могу не смеяться. :-)

3

Поймал себя на мысли, что, в вашем случае, покраснения на лице – симптом, скорее, множества дерматологических заболеваний, нежели стыда или дискомфорта перед людьми. Пожалуй, нет более ненавистного мной сервиса, чем ваш. Жаль, что ЦБ РФ за вас взялся только сейчас.

2

Ой, все!

Я тут начал свой пост с похвалы в адрес qiwi.com за в целом нормальное, серьезное отношение к аутентификации (а не как у Сбербанка). Так вот: забудьте!

Решил напоследок полюбопытствовать, как там у них с приложением для «Андроида», с которым до сего дня я дел не имел: настолько же бессмысленную ошибку («Something is not going right») оно выдает, или нет?

И оказалось, что таки нет: оно вовсе не говорит ни про какой истекший пароль, оно в качестве пароля спрашивает всего-навсего какие-то *четыре цифры*, угадав которые, я спокойно захожу и могу всецело распоряжаться счетом! Полноценный пароль не нужен, почта нафиг не нужна!

Что́ это были за цифры, для меня так и осталось загадкой. Повторюсь: до этого я никаким приложением, кроме как веб-, не пользовался. Единственная гипотеза: возможно, что *много-много* лет назад я их ввел в платежный терминал.

1