Как разработчик приложений для «ВКонтакте» Happy Santa забирает чужие донаты и пожертвования
Больше двух лет пользовался виджетом для «Пожертвования» для «ВКонтакте» от разработчика Happy Santa, тот самый, что делает все официальные спецпроекты для «ВКонтакте» (FIFA 2018, статистика по коронавирусу и т.д.). В общем, ребята, у которых за спиной не один десяток готовых проектов.
Примерно с мая я перестал получать донаты с этого виджета, но не придал этому значение, подумал, что это все коронавирус. В июне мне написал подписчик, что пытается кинуть донат, но появляется ошибка. Пока пытался выяснить в чем дело, оно заработало. Донат получил. Сегодня получил сообщение от другого подписчика, где он сообщил что в знак благодарности кинул донат. Но деньги почему-то не пришли…
Стал разбираться, и выяснил что при первом открытии виджета пользователем в форме платежа для Яндекс.Денег подставляется другой номер кошелька — 410014706395221.
Этот же номер кошелек стоит в официальном сообществе Happy Santa во ВКонтакте. Оставил тикет в техподдержку и начал копать дальше. Думал, только у меня такой глюк, но все оказалось еще хуже.
Нашел сообщества, которые используют этот же виджет, и проблема повторилась.
Попробовал перевести пожертвование в сообществе «Храм преп. Серафима Саровского в селе Перлёвка».
При первом запуске платеж идет на кошелек номер 410014706395221 (который принадлежит разработчикам), а после перезагрузки страницы на 410013660192390. Который, как мы видим, принадлежит отцу Серафиму.
Ну ладно, думаю, может у них тоже такой глюк. Взял следующее рандомное сообщество «Дзержинск Онлайн». У них в шапке виджета указан номер кошелька.
Проверяем.
Опять подставляется номер яндекс.кошелька Happy Santa..
Ну и третий для чистоты эксперимента стал «Благотворительный фонд «помощь».
Все тоже самое.
А теперь давайте попробуем представить масштабы мошенничества. Да, именно мошенничества, я ни за что не поверю, что топовая команда разработчиков могла допустить такой баг. Выше скринкасты с телефона, но и через ПК 1 раз так получилось вычислить. Отсюда предполагаю, что это было сделано специально, не баг а фича (с).
В свое время администрация ВКонтакте активно продвигала этот виджет, он был одним из первых и помогал контент мейкерам, по этому он установлен в 0,5 млн сообществ.
Так же прошу администрацию ВКонтакте заблокировать этот виджет, за мошеннические действия. Ранее номер кошелька подставлялся скрытым полем в форме, и POST запрос сразу шел к яндексу. Сейчас же форма отправляется на сторонний ресурс (Happy Santa — miniapps.donate.vip243.vkforms.ru) и уже оттуда происходит редирект.
Обновлено: посты на VC работают, приложение отключено
Очень надеюсь, что это баг, т.к. хочу верить в доброту и честность. Но выглядит все-таки как фича... Если так, то пожизненный бан и общественное порицание необходимы. Фу таким быть.
За мошенничество должен быть не бан, а уголовное дело.
Согласен, не похоже на баг... Надеюсь, что не спихнут потом на рандомного разработчика, который их 'предал'.
Комментарий недоступен
Штраф в несколько лчмов и уголовный срок.
В данной ситуации виноваты не Happy Santa, а разработчики клиента ВК для iOS. Вчера они выкатили новую сборку клиента, в которой присутствовал странный баг.
Лирическое отступление: у приложений ВК есть возможность установки в сообщества. Кроме того, в настройках приложения разработчик может указать свою собственную группу, в которую можно перейти их приложения через контекстное меню, к примеру, чтобы задать разработчику вопросы относительно сервиса.
Так вот, суть бага заключается в том, что у всех пользователей, обновивших клиент ВК до последней версии, при открытии любых приложений в сообществах первый запуск приложения происходит не из нужного сообщества, а из официального сообщества приложения. То есть, к примеру, если брать те же "Пожертвования", то при открытии сервиса из любых групп первый раз приложение всегда открывалось так, как будто оно было открыто из официальной группы Happy Santa, соответственно, и кошелек там подставлялся их. Если пользователь закроет приложение и откроет его заново, то оно перезагрузится в нужном виде.
Я занимаюсь разработкой сервиса "Донаты" (тоже есть в каталоге приложений) и вчера я столкнулся с той же самой проблемой. Внезапно в мою группу начали прилетать донаты, которые предназначались для других сообществ. Баг был найден и передан сотрудникам ВК, обещали в ближайшее время починить и выкатить новую сборку клиента в сторы. В качестве временного решения проблемы на своей стороне я поставил заглушку, которая выдает ошибку при открытии сервиса из моей группы.
Так что вот такие дела. Думаю, завтра-послезавтра баг исправят, но проблемы, которые из-за этого бага появились у разработчиков приложений, разгребать придется еще долго.
вчера как раз перешел на приложение донаты, я теперь слежу за вами)