реклама
разместить

Qiwi: как потерять доступ к деньгам из-за банального бага

...и как вам (а баг может касаться и вас, необходимые и достаточные условия см. в последних абзацах) никто не поможет.

Как вы, возможно, знаете, время от времени «Киви» сообщает, что ваш (только что верно введенный) пароль «истек», и ультимативно требует установить новый. Это у них зовется «заботой о безопасности».

В наш век, когда в тот же «Сбербанк-онлайн» любого пускают вообще без пароля (даже если вы его установили), это выглядит очень мило и традиционно, я бы даже мысленно поставил плюсик в карму, но чу!: я ввожу новый пароль, ввожу цифирь из SMS, но в итоге получаю лишь туманное:

Seems like something isn’t going right. Try again later

Qiwi: как потерять доступ к деньгам из-за банального бага

И всё! Это тупик. Доступа к кошельку и ко всех средствам в нем у меня больше просто нет.

Пишу в веб-чат — разводят руками и якобы составляют «заявку к техническим специалистам».

Мысленно соглашаюсь, что дело тут действительно в каком-то программном баге на их стороне — насколько редком, что даже сообщение об ошибке не удосужились перевести на русский, поэтому просто жду… жду… еще жду…

И ровно через 4 (четыре) месяца получаю шаблонное «Повторите, пожалуйста, попытку восстановления пароля». Из чего можно понять, что за все это время «технические специалисты» написанное даже и не подумали толком прочитать (напоминаю: пароль никуда не терялся, это «Киви» его инвалидировала).

Но может быть, это придирка по форме, а по-существу все решилось? Но нет — ни черта не изменилось: something по прежнему isn’t going right.

Окей. Киви — птица гордая: пока не пнешь, не полетит.

Звоню на «горячую линию»: оператор с трудом находит развалившуюся на несколько тикетов* переписку, много извиняется, над чем-то там колдует минут семь под релаксирующую музыку, но все, что по итогу может предложить — это «повысить приоритет заявки». Просто оставить старый пароль в покое нельзя, подтвердить смену по телефону нельзя, обналичить деньги — упаси боже.

Сколько же займет хотя бы прочтение «приоритетной» заявки, если на обычную ушло четыре месяца? — спросите вы. Спросил и я. Ответ был: ждите письма по существу не более, чем через трое суток.

На обещанные три дня, конечно, не надеемся, ждем пять… тишина.

Звоним еще раз: оператор с трудом находит развалившуюся на несколько тикетов переписку, много извиняется, над чем-то там колдует минут семь… Стоп. Дежа вю? Да нет, все, что по итогу мне могут предложить — это опять «повысить приоритет».

Прогресс, однако, есть: на сей раз обещают, что все рассмотрят в течение одних суток.

«Одни сутки» длятся уже неделю.

Итого: по неведомой самой «Киви» причине — из-за какой-то программной ошибки на их стороне — человеку фактически могут заморозить весь баланс; и за много месяцев «технические специалисты» не удосужились уделить ей даже минимальное внимание.

И в качестве вишенки на торте: пройдет еще немного времени, и (как пить дать) деньги начнут списывать в оплату за «неактивность».

Ну а пока дважды «приоритетная» заявка пылится в очереди, было бы небезынтересно самому погадать, что же это за баг такой.

Посмотрим чуть более вооруженным взглядом: нелокализованная строчка прилетает в таком вот payloadʼе в 401-ответе на post-запрос к https://qiwi.com/oauth/authorize:

{ "error": "server_error", "error_description": "Email code generation failed.", "error_code": "700", "user_message": "Seems like something isn’t going right. Try again later." }

«Email code generation failed» — это, согласитесь, уже куда понятнее, чем «Seems like something isn’t going right». Почему скрываем это от пользователя? Непонятно.

Так или иначе, условия попадания в этот тупик проясняются: во-первых, у «Киви» в опциях есть галочка «использовать [почту] для изменения пароля», и наверняка у меня она включена, тогда как по-умолчанию, а значит и у большинства — нет.

А во-вторых, общеизвестен дурной паттерн проверять почтовый адрес на якобы «валидность» до того, как туда что-то отправлять. Известно также, что ряд таких проверок дает ложноотрицательный ответ на адресах с плюсом (+) в логине типа firstname+label@lastname.ru. И такой адрес — это точно мой случай.

Осталось найти лишний номерок телефона, чтобы создать новый кошелек, и проверить догадку — и эврика! Все так, и даже хуже: привязать почту вида login+label@domain.tld до сих пор можно (код подтверждения на нее приходит успешно), а получить на нее после этого код для смены пароля — нет.

При этом пока вам еще не обнулили пароль, сменить почту вполне можно, так что если кто тоже любит plus addressing — бросаться судорожно искать, как бы вывести весь баланс не обязательно. ;-)

* QW16452033, QW16629470, QW16676045

1414
реклама
разместить
14 комментариев

Дмитрий, здравствуйте!

Признаемся — краснели, когда читали вашу статью. Затягивать вопрос с восстановлением пароля нельзя, и мы уже взяли заявки в работу.

Обещаем больше не теряться, свяжемся с вами завтра и поможем вернуть доступ к кошельку.

Ох, лол. Действительно связались:

«Для рассмотрения вашего обращения, пожалуйста, в ответном письме пришлите ваше фото с паспортом в руках. Сделайте селфи так, чтобы мы четко видели ваше лицо, паспортные данные и фото в паспорте. Необходимо фотографировать в хорошем разрешении (более 1 МБ, но менее 10 МБ), не допускается использование графических редакторов, без зеркального отображения».

Нет, умом я понимаю, что вместо решения проблемы в целом решили пока что побыстрее разобраться с моим частным случаем по протоколу утери доступа к почте, но почему-то все-равно не могу не смеяться. :-)

3

Поймал себя на мысли, что, в вашем случае, покраснения на лице – симптом, скорее, множества дерматологических заболеваний, нежели стыда или дискомфорта перед людьми. Пожалуй, нет более ненавистного мной сервиса, чем ваш. Жаль, что ЦБ РФ за вас взялся только сейчас.

2

Ой, все!

Я тут начал свой пост с похвалы в адрес qiwi.com за в целом нормальное, серьезное отношение к аутентификации (а не как у Сбербанка). Так вот: забудьте!

Решил напоследок полюбопытствовать, как там у них с приложением для «Андроида», с которым до сего дня я дел не имел: настолько же бессмысленную ошибку («Something is not going right») оно выдает, или нет?

И оказалось, что таки нет: оно вовсе не говорит ни про какой истекший пароль, оно в качестве пароля спрашивает всего-навсего какие-то *четыре цифры*, угадав которые, я спокойно захожу и могу всецело распоряжаться счетом! Полноценный пароль не нужен, почта нафиг не нужна!

Что́ это были за цифры, для меня так и осталось загадкой. Повторюсь: до этого я никаким приложением, кроме как веб-, не пользовался. Единственная гипотеза: возможно, что *много-много* лет назад я их ввел в платежный терминал.

1
Раскрывать всегда
США ввели санкции против «АльфаСтрахования» и «Ингосстраха»

И российского нефтегазового сектора.

2222
1010
99
55
33
22
22
11
Как же достал этот империалистический стервятник! Пора кончать с гегемонией этого мирового жандарма!
реклама
разместить
Логистическая компания Exmail подала иск к «Авито» на 1 млрд рублей из-за закрытия пунктов выдачи заказов

В «Авито» говорят, что партнёрство решили не продлевать в том числе из-за большого числа жалоб на доставку.

Источник: «Авито»
3030
88
88
22
Классный пункт был, примерка, все отлично. Возврат можно оформить. Авито зажравшиеся монополисты. Ввели комиссии. Блокируют объекты аренды, банят аккаунты. Бойкот им.
В сервисе Hailuo AI появилась функция генерации коротких роликов из фотографии — можно настроить декорации, одежду и действия персонажа

Бесплатно доступно создание двух видео в день.

2525
22
На словах ты Лев Толстой, а на деле - дед в красном худи
Как Apple заставляет людей брать кредиты на покупку их телефонов

Вы задумывались когда-нибудь почему ради нового айфона люди готовы продать душу? Дело далеко не в его производительности и дизайне. Давайте разберемся, что там у Apple под капотом, и как это применить в вашем бизнесе)

Как Apple заставляет людей брать кредиты на покупку их телефонов
3131
44
44
33
Бесплатные тесты для B2B-продуктов: почему у сервиса Solo нет демо-периода и как это влияет на продажи

Больше полугода мы раздавали доступ к своему ИИ-менеджеру по продажам направо и налево: чтобы убедить, что он действительно работает, что лиды и продажи растут, что это настоящий перформ-инструмент, а не сервис поддержки. А потом потеряли 50% прибыли за две недели.

Как говорит наш руководитель, ошибаться — это нормально. Ошибки — предвестник успеха. И наш отказ от демо-периодов начался с ошибки
66
22
11 бесплатных ИИ-инструментов без регистрации
11 бесплатных ИИ-инструментов без регистрации

Если вы ищете потрясающие ИИ-инструменты, вам повезло. Я нашел 11 бесплатных и полезных ИИ-инструментов, которые являются не требуют никаких регистраций. Да, вы не ослышались - никаких уловок, никакой информации о банковской карте, только чистая ИИ-магия! Но имейте в виду - они не могут оставаться бесплатными вечно, поэтому лучше воспользоваться им…

3131
44
Привет! Вам проект-кидалово от крупнейшей нефтяной компании не нужен?

Многим же приходят сообщения в ТГ, типа от «старых друзей» к которым пришли силовые ведомства и что-то срочно нужно сделать чтобы избежать «неизбежной кары». Мне вот на днях очередная порция такого упала. До последнего уровня ни разу не доходил. Зато это напомнило более изощренную схему развода 5летней давности. Все начиналось как традиционный тенд…

Привет! Вам проект-кидалово от крупнейшей нефтяной компании не нужен?
1010
11
11
[]