Как разработчик приложений для «ВКонтакте» Happy Santa забирает чужие донаты и пожертвования

Обновлено в 13:20. Во «ВКонтакте» сообщили vc.ru, что исправили ошибку, в ближайшее время появится обновление iOS-приложения. Соцсеть временно отключила платежи в сервисе «Пожертвования», а деньги, которые могли быть отправлены по ошибке, вернёт пользователям.

Больше двух лет пользовался виджетом для «Пожертвования» для «ВКонтакте» от разработчика Happy Santa, тот самый, что делает все официальные спецпроекты для «ВКонтакте» (FIFA 2018, статистика по коронавирусу и т.д.). В общем, ребята, у которых за спиной не один десяток готовых проектов.

Примерно с мая я перестал получать донаты с этого виджета, но не придал этому значение, подумал, что это все коронавирус. В июне мне написал подписчик, что пытается кинуть донат, но появляется ошибка. Пока пытался выяснить в чем дело, оно заработало. Донат получил. Сегодня получил сообщение от другого подписчика, где он сообщил что в знак благодарности кинул донат. Но деньги почему-то не пришли…

Стал разбираться, и выяснил что при первом открытии виджета пользователем в форме платежа для Яндекс.Денег подставляется другой номер кошелька — 410014706395221.

Этот же номер кошелек стоит в официальном сообществе Happy Santa во ВКонтакте. Оставил тикет в техподдержку и начал копать дальше. Думал, только у меня такой глюк, но все оказалось еще хуже.

Нашел сообщества, которые используют этот же виджет, и проблема повторилась.

Попробовал перевести пожертвование в сообществе «Храм преп. Серафима Саровского в селе Перлёвка».

При первом запуске платеж идет на кошелек номер 410014706395221 (который принадлежит разработчикам), а после перезагрузки страницы на 410013660192390. Который, как мы видим, принадлежит отцу Серафиму.

Ну ладно, думаю, может у них тоже такой глюк. Взял следующее рандомное сообщество «Дзержинск Онлайн». У них в шапке виджета указан номер кошелька.

Проверяем.

Опять подставляется номер яндекс.кошелька Happy Santa..

Ну и третий для чистоты эксперимента стал «Благотворительный фонд «помощь».

Все тоже самое.

А теперь давайте попробуем представить масштабы мошенничества. Да, именно мошенничества, я ни за что не поверю, что топовая команда разработчиков могла допустить такой баг. Выше скринкасты с телефона, но и через ПК 1 раз так получилось вычислить. Отсюда предполагаю, что это было сделано специально, не баг а фича (с).

В свое время администрация ВКонтакте активно продвигала этот виджет, он был одним из первых и помогал контент мейкерам, по этому он установлен в 0,5 млн сообществ.

Так же прошу администрацию ВКонтакте заблокировать этот виджет, за мошеннические действия. Ранее номер кошелька подставлялся скрытым полем в форме, и POST запрос сразу шел к яндексу. Сейчас же форма отправляется на сторонний ресурс (Happy Santa — miniapps.donate.vip243.vkforms.ru) и уже оттуда происходит редирект.


Обновлено: посты на VC работают, приложение отключено

0
98 комментариев
Написать комментарий...
drago v

В данной ситуации виноваты не Happy Santa, а разработчики клиента ВК для iOS. Вчера они выкатили новую сборку клиента, в которой присутствовал странный баг.

Лирическое отступление: у приложений ВК есть возможность установки в сообщества. Кроме того, в настройках приложения разработчик может указать свою собственную группу, в которую можно перейти их приложения через контекстное меню, к примеру, чтобы задать разработчику вопросы относительно сервиса.

Так вот, суть бага заключается в том, что у всех пользователей, обновивших клиент ВК до последней версии, при открытии любых приложений в сообществах первый запуск приложения происходит не из нужного сообщества, а из официального сообщества приложения. То есть, к примеру, если брать те же "Пожертвования", то при открытии сервиса из любых групп первый раз приложение всегда открывалось так, как будто оно было открыто из официальной группы Happy Santa, соответственно, и кошелек там подставлялся их. Если пользователь закроет приложение и откроет его заново, то оно перезагрузится в нужном виде.

Я занимаюсь разработкой сервиса "Донаты" (тоже есть в каталоге приложений) и вчера я столкнулся с той же самой проблемой. Внезапно в мою группу начали прилетать донаты, которые предназначались для других сообществ. Баг был найден и передан сотрудникам ВК, обещали в ближайшее время починить и выкатить новую сборку клиента в сторы. В качестве временного решения проблемы на своей стороне я поставил заглушку, которая выдает ошибку при открытии сервиса из моей группы.

Так что вот такие дела. Думаю, завтра-послезавтра баг исправят, но проблемы, которые из-за этого бага появились у разработчиков приложений, разгребать придется еще долго.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
95 комментариев
Раскрывать всегда