Ozon проник в личные кабинеты селлеров и без предупреждения дал к ним доступ своим сотрудникам. Говорит, все ради теста
Конечно, все знают, что защитить свою информацию от чужих глаз и большого брата можно только в одном случае - если писать в стол. Однако, крупные компании делают все, чтобы доказать - информация пользователей защищена. Что говорить о бизнесе и предпринимателях - для них без безопасность данных равна сохранности дела, денег и их товаров. Но и добраться до них, оказывается, проще некуда.
Еще 8 октября селлер маркетплейса обнаружила в личном кабинете странную находку. В графе «Сотрудники», которая прячется в настройках, она увидела нового пользователя и удивилась: она сама не заводила нового сотрудника, а коллеги сделать не могли это, просто потому, что их не существует.
А дальше логичный вопрос, прямо как в сказке - "Кто спал на моей кроватке?". Свое негодование селлер сразу поспешила выразить в официальном сообществе Ozon. Новость не понравилась никому.
Сообщения сразу вызвало шквал эмоций у селлеров. В первую очередь, потому что они направились в тот самый раздел "Настройки" и тоже обнаружили в числе сотрудников неизвестных пользователей.
Причем у всех продавцов такие сотрудники оказались зарегистрированными с электронных ящиков на домене от "Яндекса". Фразу "у всех" стоит понимать буквально. Только посмотрите, сколько отчетов о необычной находке оставили продавцы в комментариях к первому сообщению.
Если сообщество продавцов заставить переживать, вместе они могут свернуть горы. Вот и здесь, без долгого и глубоко расследования все пришли к выводу - почты всех неизвестных сотрудников, массово зарегистрированы на "Яндекс". Все почтовые ящики идентичны друг другу - отличается только номер, который, очевидно, является порядковым. Так что могло произойти - конкуренты из Маркета массово ворвались в святая святых продавцов Ozon?
Конечно, первое, что сделали продавцы с находкой - почистили личный кабинет и удалили из списка нового сотрудника. Мы бы сделали точно также. И вам, если столкнетесь с необычными изменениями в ЛК - советуем поступать точно также. Куда безопаснее разобраться в ситуации и, если потребуется, починить все снова.
Позже, уже сам Ozon вышел на связь и сообщил, что паника была неуместной. Маркетплейс, конечно, виноват в том, что поднял панику, но напрягаться селлерам не стоит. Звучит как извинение, но не очень убедительное.
Коллеги, ещё раз здравствуйте!
Простите, что заставили поволноваться. Зачем всё это: проверяли устойчивость личных кабинетов на нагрузку акции 11.11. И на время тестирования подключали электронные адреса с доменом Яндекса, которые не должны были показываться в разделе с сотрудниками — сейчас их уже скрыли.
Почты с доменом @yandex.ru служебные, без прав на изменение, только чтение. Не использовали родной домен @ozon.ru из-за того, что для личного кабинета он обрабатывается немного иначе, что не позволяет полностью проверить нагрузку акции.
Но понимаем, что это смущает и вызывает вопросы — обсудим с коллегами, какие ещё есть варианты.
То есть Ozon собственноручно решил проверить работоспособность площадки и ее готовность к предстоящим распродажам. Последние, вроде как, проводятся не впервые, но раньше таких тестов маркетплейс не проводил. Возможно, аудитория площадки выросла так сильно, что она решила заранее подготовиться. Это уместно.
Но что мешало маркетплейсу заранее предупредить селлеров о будущем тестировании? Такой опыт у площадки есть. Например, летом этого года, Ozon открыто сообщил, что готовится к тесту по организации поставок без использования ЭДО (мы писали об этом здесь). Селлеры были предупреждены и даже приняли активное участие в тесте. Перед очередным тестом никаких предупреждений не последовало, хотя он потребовал не просто участия селлеров, а прямого вмешательства в их предпринимательскую жизнь.
Кстати, насколько подобный доступ к личному кабинету регламентрирован условиями договора Ozon с селлерами? Внимательно читаем соответствующий пункт документа от 7 октября 2020 года. Видно, что, по факту, такие действия не являются допустимыми. Сотрудники маркетплейса могут получить доступ к ЛК, только при подозрении относительно безопасности пароля пользователя. И даже в этом случае, речь не идет о доступе к личному кабинету, а именно о сбросе данных для входа. Как мы понимаем, в нынешней ситуации, безопасность паролей оказалась под угрозой именно по вине самого Ozon.
Продавцы, впрочем, попробовали порассуждать на эту тему и дальше. Если вы внимательно просматриваете все сообщения от маркетплейса, то знаете, что уже с 20 октября в договор оферты будут внесены новые изменения. Редакция нового договора от 20 октября уже доступна в личных кабинетах селлеров, но в силу вступить не должна - до актуальной даты еще больше недели.
1.6. Действия Ozon в ЛК Ozon в лице сотрудников и иных уполномоченных лиц вправе совершать в ЛК Продавца любые действия, необходимые для решения обращений Продавца в Службу поддержки.
Как видите, в новой редакции договора, появился отдельный пункт, связанный с доступом Ozon к личным кабинетам пользователей. Впрочем, даже такая поправка, вступи она в силу, не позволяет маркетплейсу без предупреждения вносить изменения в ЛК селлеров. Вчитайтесь - речь идет о доступе в случае, когда необходимо решить обращение продавцов в службу поддержки.
Получается, что Ozon, желая сделать благое, скомпрометировал себя. Ситуация не выглядит выигрышной со всех сторон. Начиная от использования почтовых ящиков на стороннем домене, заканчивая тем, что он решил внести изменения там, где не ступает нога чужого человека.
Интересно, после таких тестов, распродажа 11.11 пойдет по плану маркетплейса?
Кстати, Ozon заявил, что уже закончил все тесты и удалил новеньких сотрудников из личных кабинетов продавцов. Но вы, пожалуй, проверьте это сами. Заодно, замените пароли на новые. Если не от Ozon, то от мошенников вы себя обезопасить сможете.
Как дети малые, ей Богу, как будто сотрудники озона без этих аккаунтов доступа ни к чему не имеют 😂
В нормальных организациях кто попало не имеет, требуется разрешение, чтобы сотрудники получили доступ к проекту, без него доступна только очень ограниченная информация.
Смотря как все сделано...
При нормальной системе безопасности - только в рамках жестко ограниченных полномочий (на системном уровне).
При хорошей системе безопасности - даже админы не могут получить доступ. Сбросить и поменять пароль в случае угрозы фрода - да, могут. Но тогда пользователь сразу об этом узнает, когда не сможет войти в ЛК.
Но как все там у них устроено - хз.
Без паники. Просто ребята тестируют на проде
И с левыми email-адресами. Ну не хотели админа беспокоить почем зря.
т.е. вы считаете нормальным снимая квартиру, что у вас ежедневно моется хозяин квартиры. причем делает это без спроса и когда ему вздумается. он же хозяин?!