Ozon проник в личные кабинеты селлеров и без предупреждения дал к ним доступ своим сотрудникам. Говорит, все ради теста

Конечно, все знают, что защитить свою информацию от чужих глаз и большого брата можно только в одном случае - если писать в стол. Однако, крупные компании делают все, чтобы доказать - информация пользователей защищена. Что говорить о бизнесе и предпринимателях - для них без безопасность данных равна сохранности дела, денег и их товаров. Но и добраться до них, оказывается, проще некуда.

Еще 8 октября селлер маркетплейса обнаружила в личном кабинете странную находку. В графе «Сотрудники», которая прячется в настройках, она увидела нового пользователя и удивилась: она сама не заводила нового сотрудника, а коллеги сделать не могли это, просто потому, что их не существует.

А дальше логичный вопрос, прямо как в сказке - "Кто спал на моей кроватке?". Свое негодование селлер сразу поспешила выразить в официальном сообществе Ozon. Новость не понравилась никому.

Сообщения сразу вызвало шквал эмоций у селлеров. В первую очередь, потому что они направились в тот самый раздел "Настройки" и тоже обнаружили в числе сотрудников неизвестных пользователей.

Причем у всех продавцов такие сотрудники оказались зарегистрированными с электронных ящиков на домене от "Яндекса". Фразу "у всех" стоит понимать буквально. Только посмотрите, сколько отчетов о необычной находке оставили продавцы в комментариях к первому сообщению.

Если сообщество продавцов заставить переживать, вместе они могут свернуть горы. Вот и здесь, без долгого и глубоко расследования все пришли к выводу - почты всех неизвестных сотрудников, массово зарегистрированы на "Яндекс". Все почтовые ящики идентичны друг другу - отличается только номер, который, очевидно, является порядковым. Так что могло произойти - конкуренты из Маркета массово ворвались в святая святых продавцов Ozon?

Конечно, первое, что сделали продавцы с находкой - почистили личный кабинет и удалили из списка нового сотрудника. Мы бы сделали точно также. И вам, если столкнетесь с необычными изменениями в ЛК - советуем поступать точно также. Куда безопаснее разобраться в ситуации и, если потребуется, починить все снова.

Позже, уже сам Ozon вышел на связь и сообщил, что паника была неуместной. Маркетплейс, конечно, виноват в том, что поднял панику, но напрягаться селлерам не стоит. Звучит как извинение, но не очень убедительное.

Коллеги, ещё раз здравствуйте!
Простите, что заставили поволноваться. Зачем всё это: проверяли устойчивость личных кабинетов на нагрузку акции 11.11. И на время тестирования подключали электронные адреса с доменом Яндекса, которые не должны были показываться в разделе с сотрудниками — сейчас их уже скрыли.
Почты с доменом @yandex.ru служебные, без прав на изменение, только чтение. Не использовали родной домен @ozon.ru из-за того, что для личного кабинета он обрабатывается немного иначе, что не позволяет полностью проверить нагрузку акции.
Но понимаем, что это смущает и вызывает вопросы — обсудим с коллегами, какие ещё есть варианты.

Елизавета Князева, Администратор сообщества Ozon Seller

То есть Ozon собственноручно решил проверить работоспособность площадки и ее готовность к предстоящим распродажам. Последние, вроде как, проводятся не впервые, но раньше таких тестов маркетплейс не проводил. Возможно, аудитория площадки выросла так сильно, что она решила заранее подготовиться. Это уместно.

Но что мешало маркетплейсу заранее предупредить селлеров о будущем тестировании? Такой опыт у площадки есть. Например, летом этого года, Ozon открыто сообщил, что готовится к тесту по организации поставок без использования ЭДО (мы писали об этом здесь). Селлеры были предупреждены и даже приняли активное участие в тесте. Перед очередным тестом никаких предупреждений не последовало, хотя он потребовал не просто участия селлеров, а прямого вмешательства в их предпринимательскую жизнь.

Кстати, насколько подобный доступ к личному кабинету регламентрирован условиями договора Ozon с селлерами? Внимательно читаем соответствующий пункт документа от 7 октября 2020 года. Видно, что, по факту, такие действия не являются допустимыми. Сотрудники маркетплейса могут получить доступ к ЛК, только при подозрении относительно безопасности пароля пользователя. И даже в этом случае, речь не идет о доступе к личному кабинету, а именно о сбросе данных для входа. Как мы понимаем, в нынешней ситуации, безопасность паролей оказалась под угрозой именно по вине самого Ozon.

Продавцы, впрочем, попробовали порассуждать на эту тему и дальше. Если вы внимательно просматриваете все сообщения от маркетплейса, то знаете, что уже с 20 октября в договор оферты будут внесены новые изменения. Редакция нового договора от 20 октября уже доступна в личных кабинетах селлеров, но в силу вступить не должна - до актуальной даты еще больше недели.

1.6. Действия Ozon в ЛК Ozon в лице сотрудников и иных уполномоченных лиц вправе совершать в ЛК Продавца любые действия, необходимые для решения обращений Продавца в Службу поддержки.

Договор оферты, раздел "Личный кабинет", редакция от

Как видите, в новой редакции договора, появился отдельный пункт, связанный с доступом Ozon к личным кабинетам пользователей. Впрочем, даже такая поправка, вступи она в силу, не позволяет маркетплейсу без предупреждения вносить изменения в ЛК селлеров. Вчитайтесь - речь идет о доступе в случае, когда необходимо решить обращение продавцов в службу поддержки.

Получается, что Ozon, желая сделать благое, скомпрометировал себя. Ситуация не выглядит выигрышной со всех сторон. Начиная от использования почтовых ящиков на стороннем домене, заканчивая тем, что он решил внести изменения там, где не ступает нога чужого человека.

Интересно, после таких тестов, распродажа 11.11 пойдет по плану маркетплейса?

Кстати, Ozon заявил, что уже закончил все тесты и удалил новеньких сотрудников из личных кабинетов продавцов. Но вы, пожалуй, проверьте это сами. Заодно, замените пароли на новые. Если не от Ozon, то от мошенников вы себя обезопасить сможете.

0
44 комментария
Написать комментарий...
Andrey Shevtsov

Как дети малые, ей Богу, как будто сотрудники озона без этих аккаунтов доступа ни к чему не имеют 😂

Ответить
Развернуть ветку
Александ Есть

В нормальных организациях кто попало не имеет, требуется разрешение, чтобы сотрудники получили доступ к проекту, без него доступна только очень ограниченная информация.

Ответить
Развернуть ветку
D2Y439

Какие права человека? Ну, как дети малые, ей богу. Их же любой человек с оружием может нарушить. Не смешите.)

Ответить
Развернуть ветку
Семен Смирнов

Мы все равно не узнаём у кого доступ и было ли разрешение
Но в любом случае хвосты нужно было подчистить или не светить

Ответить
Развернуть ветку
Isuzu Dzanarnoghno

Смотря как все сделано...
При нормальной системе безопасности - только в рамках жестко ограниченных полномочий (на системном уровне).
При хорошей системе безопасности - даже админы не могут получить доступ. Сбросить и поменять пароль в случае угрозы фрода - да, могут. Но тогда пользователь сразу об этом узнает, когда не сможет войти в ЛК.

Но как все там у них устроено - хз.

Ответить
Развернуть ветку
Denis

Без паники. Просто ребята тестируют на проде

Ответить
Развернуть ветку
Вася Пражкин

И с левыми email-адресами. Ну не хотели админа беспокоить почем зря.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Илья Фирсов

т.е. вы считаете нормальным снимая квартиру, что у вас ежедневно моется хозяин квартиры. причем делает это без спроса и когда ему вздумается. он же хозяин?!

Ответить
Развернуть ветку
Sara Harris

А ведь это идея. Вот только она должна быть закреплена в договоре)

Ответить
Развернуть ветку
Илья Фирсов

ну тогда уже и забить завтра и ужин, что бы уже точно влиться в новую семью полностью

Ответить
Развернуть ветку
Юрий Б.

Аналогия неубедительна. Никаких ресурсов у продавцов не было использовано, в работе они никак не ограничились.

Вот если бы кто-то допёр зарегать на Яндексе мыло stresstestov1001 и так восстановить доступ в кабинет с последующим хулиганством, то это было бы гораздо убедительнее. А так…. Стенания анонимного анонимуса сродни брюзжанию того пенсионера с второго подъезда.

Озон, конечно, тоже ерунду сделал. Интересно было бы почитать в чем технический смысл был. Генерировать нагрузку из личных кабинетов на вот этих фейковых юзерах?

Ответить
Развернуть ветку
Илья Фирсов

а где хулиганство в том что вы помоетесь у своих квартирантов? за воду заплатите сами, а вот место в их ванне ;)

Ответить
Развернуть ветку
Khabib96

приводит роботов или проводит работы? ау, ЕГЭшники

Ответить
Развернуть ветку
Aleksandr Azh

Скорее о том что контрагент не соблюдает условия своего же договора.

Ответить
Развернуть ветку
Елизавета Князева

Здравствуйте, я из Ozon Marketplace. Таким образом проверяли систему на прочность в преддверии высокого сезона. Нагружали её с помощью наших аккаунтов, один из которых партнёры могли заметить в своём личном кабинете. Такие email-адреса абсолютно безобидны и умеют только искать ошибки в коде.
Почему домен “неродной”: ozon.ru не давал полноценно проверить влияние акции — потому решили использовать другой.

Понимаем, что без предупреждения проверять работоспособность было не совсем корректным, и “спецоперация” смутила продавцов. С коллегами уже обсудили, постараемся больше не допускать подобного. И, кстати, сам тест успешно провели буквально за пару часов — к сезону готовы)

Ответить
Развернуть ветку
Илья Фирсов

обсудили с коллегами, постараемся больше не допускать. как мило это звучит - постараемся... :)

Ответить
Развернуть ветку
kinoprorok
И на время тестирования подключали электронные адреса с доменом Яндекса, которые не должны были показываться в разделе с сотрудниками — сейчас их уже скрыли.

То есть, по факту, они так и остались в личных кабинетах в разделе с сотрудниками, но просто теперь их не видно?

Ответить
Развернуть ветку
Илья Фирсов

ну тут уже как бы можно воротить все что хочешь. пользователи этого уже не увидят. к сожалению так и живем ;)

Ответить
Развернуть ветку
Александ Есть

Вы не работоспособность проверяли, вы дали левому аккаунту доступ к личному кабинету пользователя. По сути без разрешения пользователя засунули свою руку в его карман, за такое сразу увольнять нужно.

Ответить
Развернуть ветку
Andrey Shevtsov

Ну не в жопу засунули, и слава Богу

Ответить
Развернуть ветку
Александ Есть

Судя по той простоте, с которой они свои грязные руки засовывают в чужие аккаунты, что их может остановить от иных посягательств на пару часов.

Ответить
Развернуть ветку
Илья Фирсов

по сути ничего не может остановить. только полное удаление своего аккаунта с их площадки по сути :(

Ответить
Развернуть ветку
Isuzu Dzanarnoghno

А как это, интересно, имэйл-адреса умеют искать ошибки в коде? И почему это делается на продакшене?
И что, вообще, проверялось? Пропускная способность канала? Скорость обработки? И тогда для чего регистрировать адреса в админках пользователей? Логов недостаточно? И т.д. Вопросов больше, чем ответов.

Нет, я верю, что тут ничего криминального не было. Но это очень напоминает симбурде со стороны айтишного отдела...

Ответить
Развернуть ветку
Sayyar Tatar

Краткое изложение статьи. Озон временно внедрил в ЛК тестовые аккаунты, протестил, селлеры насторожились, Озон объяснился. Все расходимся?!) Неа, тут целая хайп-статья из серии мы все умрём)

Все кто в теме знает, что Озон на порядок лучше конкурентов и по работе с селлерами и по ЛК и по решению вопросов селлера и по обратной связи.

Равнодушный и беспощадный сервис Wb, практически бесполезный у Яндекса и искусственный и безразличный сервис Ламода и это из более-менее значимых игроков, ну есть еще Али, но там всего понемногу)

Ответить
Развернуть ветку
Isuzu Dzanarnoghno

Да, собственно, непонятно одно. ЧТО там можно такого было тестировать, для чего в боевые кабинеты (не на тестовой машине!) вводить левые эккаунты. Из того, чего нельзя было увидеть в общесистемном выводе.
Предполагаете ошибку в коде? Ну, ОК. Создайте тестовый эккаунт (пусть даже и на продакшене) и насилуйте его как хотите.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Александ Есть

Всегда интересовал вопрос, почему, когда смотришь требования вакансий у Озона, Ситилинка и прочих - список требований чуть меньше чем список моих бывших.
Вебинары послушаешь, круты до невозможности, куда мне до них, но такие вот косяки допускать, это же днище дна. Как это может происходить, что вы там с специалистами делаете, что они тупеют или к вам уже не ходят толковые?

Ответить
Развернуть ветку
Aleksei Baissarov

То есть получается что у Озона в вакансиях нет требований? Да ну.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Dmitry Kuteiko

В вакансиях мечты описаны. А берут тех что есть.

Ответить
Развернуть ветку
Виталий Забуланов

Господа, а я вот человек далёкий от этой всей фигни. Объясните мне болвану следующее. Я вот типа продавец на озоне. Сам себе хозяин,сам себе производитель ( предположим хэнд мэйд),сам себе продавец. У меня на озоне свой личный кабинет. В нем, по моему велению есть только я. Ибо..
читаем выше. Сам себе негр, сам себе начальник, и т.д. И тут я такой 11 октября просыпаюсь, и нахожу по милости озона, в моем личном кабинете нового сотрудника. Которого как бы я туда внёс. Я ведь правильно понимаю ? Был я такой весь самозанятый, а стал я такой весь самозанятый, нанимающий себе сотрудников.
А чё блин вдруг за странное такое тестирование ? А может бы мне для начала на почту бы прислали вопрос по этой теме ? "Слышь,мол, чувак, у нас дело к тебе. Допиши-ка себе в сотрудники кренделя с адресом почты ля-ля-ля@майл.точка.майл. Нам для теста надо. Ежели в тесте не хотишь участие принимать, тогда мы другого поищем" Короче,как мог, так и объяснил что именно я не понимаю. Растолкуйте неучу, что я не так понял. Ну и разъясните мне моё заблуждение,где я думаю что ЛК на каком либо сайте это моё. И никто туда лазать не может. Сайт грубо говоря, может мой ЛК забанить/удалить, если я себя плохо вёл. Но никак своими грязными сапогами не лезть в мой кабинет. Ведь получается что озон внедрив "мёртвую душу" признаёт что мой кабинет тупо "дырявый". И что озон имеет к нему доступ. Неограниченный доступ.
Т.Е. Пароли и логины что я при реге создавал вообще фикция галимая. Я их рисовал для себя. Им, как за раз плюнуть "стать мной", и принять кого угодно на работу в моё предприятие. От моего имени даже можно начать продажу футболок с принтом "володя ты дюрекс и элтон джон". А потом скажут что я на озон наговариваю.

Ответить
Развернуть ветку
Невероятный Блондин

Можно я расскажу господам из ozon, что существуют почтовые «алиасы» (email псевдонимы основного домена).
Использовать родной технический домен всё же лучше, чем сторонний сервис.

Ответить
Развернуть ветку
Isuzu Dzanarnoghno

Не совсем. Видимо, хотели протестировать трафик "снаружи".
Хотя почему бы для этого не взять какой-нибудь vps или что-то подобное и перенаправить все через него - неясно

Ответить
Развернуть ветку
Невероятный Блондин

Почтовый домен никак не мешает проверять трафик снаружи, просто они не хотели заморачиваться и использовали один ящик с плюс адресацией «name+name@ yandex.ru»
Это видно из скриншота

Ответить
Развернуть ветку
Julian Russinhoff
Ozon проник в личные кабинеты

Орнул. Что дальше, уборщица проникнет в номер отеля?

Ответить
Развернуть ветку
Dan Priwalow

Привет, Я из газон.
Вот бокальчуха празднует 17 лет гниения ягод и её рабы, в смысле селлеры, отказываются проявлять радостную лояльность и торговать себе в убыток. Чтоб такой к,,йни не было у нас, мы заранее внесли допсотрудников, а если что-то пойдёт не так, обвиним днЯшу в сливе логин/паролей.

Ответить
Развернуть ветку
Dan Priwalow

Ай ай ай, это vc, а не корпоративный чат!!! Как это удалить????
Внимание, это внутренняя информация, запрещаю её читать или распространять.
С ослушавшимия встретимся в басманном суде!!!

Ответить
Развернуть ветку
Alex Kuz

Вы уже какую то полную херню несете ради своего хайпа

Ответить
Развернуть ветку
Johnny Smitty

Непонятно только зачем @yandex домен для почты использовать, чего сложно было домен зарегать внутренний например oznprivate.ru и почту настроить?

Ответить
Развернуть ветку
Илья Куфаров

Давайте DDOS атаку ради теста устроим.

Ответить
Развернуть ветку
Andrey Chuguev

А вот это залет!

Ответить
Развернуть ветку
Степан Фадеев

Не знаю что там со статьей, но зоголовок и картинка - огонь

Ответить
Развернуть ветку
D2Y439

Всё ради теста для пирожков

Ответить
Развернуть ветку
Денис Николаев

Это не порядковый номер в почте, это есть такая фича у почты (у гугла тоже) - это один и тот же ящик, но адреса как-будто разные. Есть даже лайфхак при регистрации на разных ресурсах как узнать кто слил пароль.
Надо при регистрации почту указывать как ящик+название_ресурса@почтовый_сервис

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
41 комментарий
Раскрывать всегда