Qiwi: как потерять доступ к деньгам из-за банального бага
...и как вам (а баг может касаться и вас, необходимые и достаточные условия см. в последних абзацах) никто не поможет.
Как вы, возможно, знаете, время от времени «Киви» сообщает, что ваш (только что верно введенный) пароль «истек», и ультимативно требует установить новый. Это у них зовется «заботой о безопасности».
В наш век, когда в тот же «Сбербанк-онлайн» любого пускают вообще без пароля (даже если вы его установили), это выглядит очень мило и традиционно, я бы даже мысленно поставил плюсик в карму, но чу!: я ввожу новый пароль, ввожу цифирь из SMS, но в итоге получаю лишь туманное:
Seems like something isn’t going right. Try again later
И всё! Это тупик. Доступа к кошельку и ко всех средствам в нем у меня больше просто нет.
Пишу в веб-чат — разводят руками и якобы составляют «заявку к техническим специалистам».
Мысленно соглашаюсь, что дело тут действительно в каком-то программном баге на их стороне — насколько редком, что даже сообщение об ошибке не удосужились перевести на русский, поэтому просто жду… жду… еще жду…
И ровно через 4 (четыре) месяца получаю шаблонное «Повторите, пожалуйста, попытку восстановления пароля». Из чего можно понять, что за все это время «технические специалисты» написанное даже и не подумали толком прочитать (напоминаю: пароль никуда не терялся, это «Киви» его инвалидировала).
Но может быть, это придирка по форме, а по-существу все решилось? Но нет — ни черта не изменилось: something по прежнему isn’t going right.
Окей. Киви — птица гордая: пока не пнешь, не полетит.
Звоню на «горячую линию»: оператор с трудом находит развалившуюся на несколько тикетов* переписку, много извиняется, над чем-то там колдует минут семь под релаксирующую музыку, но все, что по итогу может предложить — это «повысить приоритет заявки». Просто оставить старый пароль в покое нельзя, подтвердить смену по телефону нельзя, обналичить деньги — упаси боже.
Сколько же займет хотя бы прочтение «приоритетной» заявки, если на обычную ушло четыре месяца? — спросите вы. Спросил и я. Ответ был: ждите письма по существу не более, чем через трое суток.
На обещанные три дня, конечно, не надеемся, ждем пять… тишина.
Звоним еще раз: оператор с трудом находит развалившуюся на несколько тикетов переписку, много извиняется, над чем-то там колдует минут семь… Стоп. Дежа вю? Да нет, все, что по итогу мне могут предложить — это опять «повысить приоритет».
Прогресс, однако, есть: на сей раз обещают, что все рассмотрят в течение одних суток.
«Одни сутки» длятся уже неделю.
Итого: по неведомой самой «Киви» причине — из-за какой-то программной ошибки на их стороне — человеку фактически могут заморозить весь баланс; и за много месяцев «технические специалисты» не удосужились уделить ей даже минимальное внимание.
И в качестве вишенки на торте: пройдет еще немного времени, и (как пить дать) деньги начнут списывать в оплату за «неактивность».
Ну а пока дважды «приоритетная» заявка пылится в очереди, было бы небезынтересно самому погадать, что же это за баг такой.
Посмотрим чуть более вооруженным взглядом: нелокализованная строчка прилетает в таком вот payloadʼе в 401-ответе на post-запрос к https://qiwi.com/oauth/authorize:
«Email code generation failed» — это, согласитесь, уже куда понятнее, чем «Seems like something isn’t going right». Почему скрываем это от пользователя? Непонятно.
Так или иначе, условия попадания в этот тупик проясняются: во-первых, у «Киви» в опциях есть галочка «использовать [почту] для изменения пароля», и наверняка у меня она включена, тогда как по-умолчанию, а значит и у большинства — нет.
А во-вторых, общеизвестен дурной паттерн проверять почтовый адрес на якобы «валидность» до того, как туда что-то отправлять. Известно также, что ряд таких проверок дает ложноотрицательный ответ на адресах с плюсом (+) в логине типа firstname+label@lastname.ru. И такой адрес — это точно мой случай.
Осталось найти лишний номерок телефона, чтобы создать новый кошелек, и проверить догадку — и эврика! Все так, и даже хуже: привязать почту вида login+label@domain.tld до сих пор можно (код подтверждения на нее приходит успешно), а получить на нее после этого код для смены пароля — нет.
При этом пока вам еще не обнулили пароль, сменить почту вполне можно, так что если кто тоже любит plus addressing — бросаться судорожно искать, как бы вывести весь баланс не обязательно. ;-)
* QW16452033, QW16629470, QW16676045
Дмитрий, здравствуйте!
Признаемся — краснели, когда читали вашу статью. Затягивать вопрос с восстановлением пароля нельзя, и мы уже взяли заявки в работу.
Обещаем больше не теряться, свяжемся с вами завтра и поможем вернуть доступ к кошельку.
Ох, лол. Действительно связались:
«Для рассмотрения вашего обращения, пожалуйста, в ответном письме пришлите ваше фото с паспортом в руках. Сделайте селфи так, чтобы мы четко видели ваше лицо, паспортные данные и фото в паспорте. Необходимо фотографировать в хорошем разрешении (более 1 МБ, но менее 10 МБ), не допускается использование графических редакторов, без зеркального отображения».
Нет, умом я понимаю, что вместо решения проблемы в целом решили пока что побыстрее разобраться с моим частным случаем по протоколу утери доступа к почте, но почему-то все-равно не могу не смеяться. :-)
Поймал себя на мысли, что, в вашем случае, покраснения на лице – симптом, скорее, множества дерматологических заболеваний, нежели стыда или дискомфорта перед людьми. Пожалуй, нет более ненавистного мной сервиса, чем ваш. Жаль, что ЦБ РФ за вас взялся только сейчас.
Ой, все!
Я тут начал свой пост с похвалы в адрес qiwi.com за в целом нормальное, серьезное отношение к аутентификации (а не как у Сбербанка). Так вот: забудьте!
Решил напоследок полюбопытствовать, как там у них с приложением для «Андроида», с которым до сего дня я дел не имел: настолько же бессмысленную ошибку («Something is not going right») оно выдает, или нет?
И оказалось, что таки нет: оно вовсе не говорит ни про какой истекший пароль, оно в качестве пароля спрашивает всего-навсего какие-то *четыре цифры*, угадав которые, я спокойно захожу и могу всецело распоряжаться счетом! Полноценный пароль не нужен, почта нафиг не нужна!
Что́ это были за цифры, для меня так и осталось загадкой. Повторюсь: до этого я никаким приложением, кроме как веб-, не пользовался. Единственная гипотеза: возможно, что *много-много* лет назад я их ввел в платежный терминал.