Утром я взял в руки телефон и увидел 5 пропущенных звонков от водителей «Яндекс.Такси» (гугл подсказал, что это номер водителей «Яндекс.Такси»). Я не придал этому значения, но ближе к вечеру эти звонки повторились.
Я взял трубку в первый раз, и водитель ответил: «Я подъехал, вы выходите?». На мою фразу «Я не заказывал такси» водитель просто сбросил трубку. Потом позвонил другой водитель и подобное история повторилась. Я ехал тогда в метро, зашел в приложение Yandex.GO, залез в историю заказов и не увидел ничего подозрительного. Там не было ни одного лишнего заказа, все заказы были оформлены мной. Выходя из приложения, я заметил на секунду надпись «активного заказа», затем эта надпись исчезла. Попытка проверить историю еще раз не увенчалась успехом – все было, как и раньше.
Я вышел из метро и позвонил в службу поддержки Яндекса. Оператор подтвердил мне, что на мой аккаунт сейчас оформлено несколько заявок такси. Банковская карта в моем аккаунте оформлена не на мое имя, поэтому я не получал никаких Push-уведомлений из банка. Я позвонил в Тинькофф.Банк и попросил заблокировать карту, оператор пошел мне на встречу и несмотря на то, что я не являюсь владельцем карты – заблокировал её.
Яндекс.Такси, в свою очередь, пообещал перезвонить максимум через 2 часа (мой первый звонок с просьбой перезвонить был 26 мая в 21:08). В 23:00 мне, конечно же, никто не перезвонил. Я позвонил еще пару раз в службу поддержки Яндекс Такси, на что мне ответили ровно то же самое – мне перезвонят максимум через 2 часа, ожидайте. Я перезвонил им еще раз в час ночи – оператор выдал мне такой же ответ. На вопрос «мне не спать до 3-х часов ночи?» оператор ответил «Да, ожидайте ответа службы поддержки». Служба поддержки мне так и не перезвонила.
Проснувшись утром, я сразу же проверил телефон на наличие пропущенных вызовов от Саппорта Яндекса. К сожалению, никаких пропущенных вызовов я не увидел. Чувствую, что, если бы в 3 часа ночи я позвонил бы еще раз, оператор бы посоветовал мне не спать до 5 часов утра и ожидать техническую поддержку.
С утра я забил на эту ситуацию и решил, что раз моя карта заблокирована – все в порядке. Как же я был глуп… Вечером я обнаруживаю долг на сумму 1163 рублей. Саппорт яндекса так и не отвечает.
По итогу, я понял следующее:
1) Яндекс.Такси плевать на своих клиентов – для них мошенничество это дополнительный доход.
2) Операторы Яндекс.Такси – живые роботы. Они говорят по скрипту и любое отклонение от скрипта приводит их в ступор. Любые просьбы типа «заблокировать аккаунт» и «связать с поддержкой» приводят к перегреву и отключению.
3) Яндекс.Такси имеет идеальную платформу для мошенничества. Даже при удаления всех карт – мошенники могут брать деньги в долг. Гугл подсказал, что долг безлимитный, у меня хорошая репутация в Яндекс.Такси со средней суммой поездок в 15-25 тысяч рублей каждый месяц.
4) Смена пароля не дает ожидаемого результата – меня выбило с неплохой задержкой.
5) Я больше не сяду в такси от Яндекса.
Ниже прикрепляю переписку с чатом поддержки в приложении Я.Такси.
@Яндекс Go, прокомментируете как-нибудь?
Была похожая история. Проблема оказалась в том, что я наивно думал, что в Яндекс Такси можно зайти только с помощью смс-кода. А раз симка у меня, то код никто не получит. А оказалось, что еще можно (было?) зайти через авторизацию Яндекса (имейл+пароль). И мои данные каким-то образом утекли. Т.к. аккаунт яндекса почти не использую, а про такую уязвимость не знал, двухфакторку там включил только после этого случая
Ну это не уязвимость. Но да, было бы неплохо 2FA по умолчанию включать