Ozon проник в личные кабинеты селлеров и без предупреждения дал к ним доступ своим сотрудникам. Говорит, все ради теста
Конечно, все знают, что защитить свою информацию от чужих глаз и большого брата можно только в одном случае - если писать в стол. Однако, крупные компании делают все, чтобы доказать - информация пользователей защищена. Что говорить о бизнесе и предпринимателях - для них без безопасность данных равна сохранности дела, денег и их товаров. Но и добраться до них, оказывается, проще некуда.
Еще 8 октября селлер маркетплейса обнаружила в личном кабинете странную находку. В графе «Сотрудники», которая прячется в настройках, она увидела нового пользователя и удивилась: она сама не заводила нового сотрудника, а коллеги сделать не могли это, просто потому, что их не существует.
А дальше логичный вопрос, прямо как в сказке - "Кто спал на моей кроватке?". Свое негодование селлер сразу поспешила выразить в официальном сообществе Ozon. Новость не понравилась никому.
Сообщения сразу вызвало шквал эмоций у селлеров. В первую очередь, потому что они направились в тот самый раздел "Настройки" и тоже обнаружили в числе сотрудников неизвестных пользователей.
Причем у всех продавцов такие сотрудники оказались зарегистрированными с электронных ящиков на домене от "Яндекса". Фразу "у всех" стоит понимать буквально. Только посмотрите, сколько отчетов о необычной находке оставили продавцы в комментариях к первому сообщению.
Если сообщество продавцов заставить переживать, вместе они могут свернуть горы. Вот и здесь, без долгого и глубоко расследования все пришли к выводу - почты всех неизвестных сотрудников, массово зарегистрированы на "Яндекс". Все почтовые ящики идентичны друг другу - отличается только номер, который, очевидно, является порядковым. Так что могло произойти - конкуренты из Маркета массово ворвались в святая святых продавцов Ozon?
Конечно, первое, что сделали продавцы с находкой - почистили личный кабинет и удалили из списка нового сотрудника. Мы бы сделали точно также. И вам, если столкнетесь с необычными изменениями в ЛК - советуем поступать точно также. Куда безопаснее разобраться в ситуации и, если потребуется, починить все снова.
Позже, уже сам Ozon вышел на связь и сообщил, что паника была неуместной. Маркетплейс, конечно, виноват в том, что поднял панику, но напрягаться селлерам не стоит. Звучит как извинение, но не очень убедительное.
То есть Ozon собственноручно решил проверить работоспособность площадки и ее готовность к предстоящим распродажам. Последние, вроде как, проводятся не впервые, но раньше таких тестов маркетплейс не проводил. Возможно, аудитория площадки выросла так сильно, что она решила заранее подготовиться. Это уместно.
Но что мешало маркетплейсу заранее предупредить селлеров о будущем тестировании? Такой опыт у площадки есть. Например, летом этого года, Ozon открыто сообщил, что готовится к тесту по организации поставок без использования ЭДО (мы писали об этом здесь). Селлеры были предупреждены и даже приняли активное участие в тесте. Перед очередным тестом никаких предупреждений не последовало, хотя он потребовал не просто участия селлеров, а прямого вмешательства в их предпринимательскую жизнь.
Кстати, насколько подобный доступ к личному кабинету регламентрирован условиями договора Ozon с селлерами? Внимательно читаем соответствующий пункт документа от 7 октября 2020 года. Видно, что, по факту, такие действия не являются допустимыми. Сотрудники маркетплейса могут получить доступ к ЛК, только при подозрении относительно безопасности пароля пользователя. И даже в этом случае, речь не идет о доступе к личному кабинету, а именно о сбросе данных для входа. Как мы понимаем, в нынешней ситуации, безопасность паролей оказалась под угрозой именно по вине самого Ozon.
Продавцы, впрочем, попробовали порассуждать на эту тему и дальше. Если вы внимательно просматриваете все сообщения от маркетплейса, то знаете, что уже с 20 октября в договор оферты будут внесены новые изменения. Редакция нового договора от 20 октября уже доступна в личных кабинетах селлеров, но в силу вступить не должна - до актуальной даты еще больше недели.
Как видите, в новой редакции договора, появился отдельный пункт, связанный с доступом Ozon к личным кабинетам пользователей. Впрочем, даже такая поправка, вступи она в силу, не позволяет маркетплейсу без предупреждения вносить изменения в ЛК селлеров. Вчитайтесь - речь идет о доступе в случае, когда необходимо решить обращение продавцов в службу поддержки.
Получается, что Ozon, желая сделать благое, скомпрометировал себя. Ситуация не выглядит выигрышной со всех сторон. Начиная от использования почтовых ящиков на стороннем домене, заканчивая тем, что он решил внести изменения там, где не ступает нога чужого человека.
Интересно, после таких тестов, распродажа 11.11 пойдет по плану маркетплейса?
Кстати, Ozon заявил, что уже закончил все тесты и удалил новеньких сотрудников из личных кабинетов продавцов. Но вы, пожалуй, проверьте это сами. Заодно, замените пароли на новые. Если не от Ozon, то от мошенников вы себя обезопасить сможете.
Как дети малые, ей Богу, как будто сотрудники озона без этих аккаунтов доступа ни к чему не имеют 😂
В нормальных организациях кто попало не имеет, требуется разрешение, чтобы сотрудники получили доступ к проекту, без него доступна только очень ограниченная информация.
Какие права человека? Ну, как дети малые, ей богу. Их же любой человек с оружием может нарушить. Не смешите.)
Мы все равно не узнаём у кого доступ и было ли разрешение
Но в любом случае хвосты нужно было подчистить или не светить
Смотря как все сделано...
При нормальной системе безопасности - только в рамках жестко ограниченных полномочий (на системном уровне).
При хорошей системе безопасности - даже админы не могут получить доступ. Сбросить и поменять пароль в случае угрозы фрода - да, могут. Но тогда пользователь сразу об этом узнает, когда не сможет войти в ЛК.
Но как все там у них устроено - хз.
Без паники. Просто ребята тестируют на проде
И с левыми email-адресами. Ну не хотели админа беспокоить почем зря.
Комментарий удален модератором
т.е. вы считаете нормальным снимая квартиру, что у вас ежедневно моется хозяин квартиры. причем делает это без спроса и когда ему вздумается. он же хозяин?!
А ведь это идея. Вот только она должна быть закреплена в договоре)
ну тогда уже и забить завтра и ужин, что бы уже точно влиться в новую семью полностью
Аналогия неубедительна. Никаких ресурсов у продавцов не было использовано, в работе они никак не ограничились.
Вот если бы кто-то допёр зарегать на Яндексе мыло stresstestov1001 и так восстановить доступ в кабинет с последующим хулиганством, то это было бы гораздо убедительнее. А так…. Стенания анонимного анонимуса сродни брюзжанию того пенсионера с второго подъезда.
Озон, конечно, тоже ерунду сделал. Интересно было бы почитать в чем технический смысл был. Генерировать нагрузку из личных кабинетов на вот этих фейковых юзерах?
а где хулиганство в том что вы помоетесь у своих квартирантов? за воду заплатите сами, а вот место в их ванне ;)
приводит роботов или проводит работы? ау, ЕГЭшники
Скорее о том что контрагент не соблюдает условия своего же договора.
Здравствуйте, я из Ozon Marketplace. Таким образом проверяли систему на прочность в преддверии высокого сезона. Нагружали её с помощью наших аккаунтов, один из которых партнёры могли заметить в своём личном кабинете. Такие email-адреса абсолютно безобидны и умеют только искать ошибки в коде.
Почему домен “неродной”: ozon.ru не давал полноценно проверить влияние акции — потому решили использовать другой.
Понимаем, что без предупреждения проверять работоспособность было не совсем корректным, и “спецоперация” смутила продавцов. С коллегами уже обсудили, постараемся больше не допускать подобного. И, кстати, сам тест успешно провели буквально за пару часов — к сезону готовы)
обсудили с коллегами, постараемся больше не допускать. как мило это звучит - постараемся... :)
То есть, по факту, они так и остались в личных кабинетах в разделе с сотрудниками, но просто теперь их не видно?
ну тут уже как бы можно воротить все что хочешь. пользователи этого уже не увидят. к сожалению так и живем ;)
Вы не работоспособность проверяли, вы дали левому аккаунту доступ к личному кабинету пользователя. По сути без разрешения пользователя засунули свою руку в его карман, за такое сразу увольнять нужно.
Ну не в жопу засунули, и слава Богу
Судя по той простоте, с которой они свои грязные руки засовывают в чужие аккаунты, что их может остановить от иных посягательств на пару часов.
по сути ничего не может остановить. только полное удаление своего аккаунта с их площадки по сути :(
А как это, интересно, имэйл-адреса умеют искать ошибки в коде? И почему это делается на продакшене?
И что, вообще, проверялось? Пропускная способность канала? Скорость обработки? И тогда для чего регистрировать адреса в админках пользователей? Логов недостаточно? И т.д. Вопросов больше, чем ответов.
Нет, я верю, что тут ничего криминального не было. Но это очень напоминает симбурде со стороны айтишного отдела...
Краткое изложение статьи. Озон временно внедрил в ЛК тестовые аккаунты, протестил, селлеры насторожились, Озон объяснился. Все расходимся?!) Неа, тут целая хайп-статья из серии мы все умрём)
Все кто в теме знает, что Озон на порядок лучше конкурентов и по работе с селлерами и по ЛК и по решению вопросов селлера и по обратной связи.
Равнодушный и беспощадный сервис Wb, практически бесполезный у Яндекса и искусственный и безразличный сервис Ламода и это из более-менее значимых игроков, ну есть еще Али, но там всего понемногу)
Да, собственно, непонятно одно. ЧТО там можно такого было тестировать, для чего в боевые кабинеты (не на тестовой машине!) вводить левые эккаунты. Из того, чего нельзя было увидеть в общесистемном выводе.
Предполагаете ошибку в коде? Ну, ОК. Создайте тестовый эккаунт (пусть даже и на продакшене) и насилуйте его как хотите.
Комментарий недоступен
Всегда интересовал вопрос, почему, когда смотришь требования вакансий у Озона, Ситилинка и прочих - список требований чуть меньше чем список моих бывших.
Вебинары послушаешь, круты до невозможности, куда мне до них, но такие вот косяки допускать, это же днище дна. Как это может происходить, что вы там с специалистами делаете, что они тупеют или к вам уже не ходят толковые?
То есть получается что у Озона в вакансиях нет требований? Да ну.
Комментарий недоступен
В вакансиях мечты описаны. А берут тех что есть.
Господа, а я вот человек далёкий от этой всей фигни. Объясните мне болвану следующее. Я вот типа продавец на озоне. Сам себе хозяин,сам себе производитель ( предположим хэнд мэйд),сам себе продавец. У меня на озоне свой личный кабинет. В нем, по моему велению есть только я. Ибо..
читаем выше. Сам себе негр, сам себе начальник, и т.д. И тут я такой 11 октября просыпаюсь, и нахожу по милости озона, в моем личном кабинете нового сотрудника. Которого как бы я туда внёс. Я ведь правильно понимаю ? Был я такой весь самозанятый, а стал я такой весь самозанятый, нанимающий себе сотрудников.
А чё блин вдруг за странное такое тестирование ? А может бы мне для начала на почту бы прислали вопрос по этой теме ? "Слышь,мол, чувак, у нас дело к тебе. Допиши-ка себе в сотрудники кренделя с адресом почты ля-ля-ля@майл.точка.майл. Нам для теста надо. Ежели в тесте не хотишь участие принимать, тогда мы другого поищем" Короче,как мог, так и объяснил что именно я не понимаю. Растолкуйте неучу, что я не так понял. Ну и разъясните мне моё заблуждение,где я думаю что ЛК на каком либо сайте это моё. И никто туда лазать не может. Сайт грубо говоря, может мой ЛК забанить/удалить, если я себя плохо вёл. Но никак своими грязными сапогами не лезть в мой кабинет. Ведь получается что озон внедрив "мёртвую душу" признаёт что мой кабинет тупо "дырявый". И что озон имеет к нему доступ. Неограниченный доступ.
Т.Е. Пароли и логины что я при реге создавал вообще фикция галимая. Я их рисовал для себя. Им, как за раз плюнуть "стать мной", и принять кого угодно на работу в моё предприятие. От моего имени даже можно начать продажу футболок с принтом "володя ты дюрекс и элтон джон". А потом скажут что я на озон наговариваю.
Можно я расскажу господам из ozon, что существуют почтовые «алиасы» (email псевдонимы основного домена).
Использовать родной технический домен всё же лучше, чем сторонний сервис.
Не совсем. Видимо, хотели протестировать трафик "снаружи".
Хотя почему бы для этого не взять какой-нибудь vps или что-то подобное и перенаправить все через него - неясно
Почтовый домен никак не мешает проверять трафик снаружи, просто они не хотели заморачиваться и использовали один ящик с плюс адресацией «name+name@ yandex.ru»
Это видно из скриншота
Орнул. Что дальше, уборщица проникнет в номер отеля?
Привет, Я из газон.
Вот бокальчуха празднует 17 лет гниения ягод и её рабы, в смысле селлеры, отказываются проявлять радостную лояльность и торговать себе в убыток. Чтоб такой к,,йни не было у нас, мы заранее внесли допсотрудников, а если что-то пойдёт не так, обвиним днЯшу в сливе логин/паролей.
Ай ай ай, это vc, а не корпоративный чат!!! Как это удалить????
Внимание, это внутренняя информация, запрещаю её читать или распространять.
С ослушавшимия встретимся в басманном суде!!!
Вы уже какую то полную херню несете ради своего хайпа
Непонятно только зачем @yandex домен для почты использовать, чего сложно было домен зарегать внутренний например oznprivate.ru и почту настроить?
Давайте DDOS атаку ради теста устроим.
А вот это залет!
Не знаю что там со статьей, но зоголовок и картинка - огонь
Всё ради теста для пирожков
Это не порядковый номер в почте, это есть такая фича у почты (у гугла тоже) - это один и тот же ящик, но адреса как-будто разные. Есть даже лайфхак при регистрации на разных ресурсах как узнать кто слил пароль.
Надо при регистрации почту указывать как ящик+название_ресурса@почтовый_сервис
Комментарий удален модератором