Забытый номер, открытые данные: как «Самокат» оставляет своих клиентов один на один с угрозой утечки персональных данных

История, которая началась с банальной смены номера телефона, обернулась настоящим кошмаром для меня, пользователя сервиса доставки «Самокат». Она вскрыла не только ужасающие пробелы в службе поддержки, но и фундаментальные проблемы с безопасностью персональных данных в компании.

Всё началось с того, что я сменил номер телефона. Казалось бы, стандартная процедура для миллионов людей. Однако в приложении «Самоката» не оказалось функции для смены номера телефона в аккаунте. Первый тревожный звоночек, который многие предпочитают не замечать. Обращение в техническую поддержку привело к фатальной ошибке. Вместо того чтобы предложить безопасный алгоритм переноса данных, сотрудник посоветовал привязать к аккаунту СберID, который был уже зарегистрирован на новый номер.

Результат оказался предсказуемым и ужасающим: система, увидев привязку к новому номеру, просто выкинула меня из моего же старого аккаунта. Вход был возможен только по коду из SMS/СберID, который теперь приходил на старый, уже не принадлежащий мне номер.

Именно здесь простая недосмотренность переросла в прямую угрозу безопасности. Аккаунт с привязанной банковской картой, историей заказов и личными адресами доставки (домом или работой) остался «висеть» на старом номере. И теперь получить к нему полный доступ может любой человек, которому этот номер достанется сейчас.

Что может сделать новый владелец номера?

1. Совершать заказы с привязанной банковской карты бывшего владельца.

2. Видеть полную историю всех прошлых заказов.

3. Знать все адреса доставки, включая домашний адрес.

4. Видеть имя, другие данные профиля.

Фактически, «Самокат» собственными руками создал «бэкдор» — лазейку, через которую конфиденциальная информация и финансовые средства пользователя оказываются под угрозой.

«Технические специалисты удалят данные об учетной записи в течение 30 календарных дней»

Осознав масштаб катастрофы, я потребовал от службы поддержки немедленного удаления аккаунта. Ответ компании поверг в шок. «Самокат» согласился выполнить требование, но заявил, что процесс удаления займет 30 дней. При этом никаких гарантийных писем, подтверждений или ссылок на регламенты предоставлено не было. Просто устное обещание, за которым ничего не стоит.

1. Почему процедура удаления аккаунта, которая в IT является базовой, занимает целый месяц? 2. Что происходит с данными в течение этих 30 дней? Остаются ли они доступны для входа с того же номера телефона? 3. Гарантирует ли компания, что аккаунт действительно будет удален, а не просто деактивирован?

Отсутствие четких и быстрых процедур в такой критической ситуации говорит о полном пренебрежении к защите персональных данных клиентов.

Вывод: Ваши данные в «Самокате» ничем не защищены.

Эта история — не частный случай, а системная failure. Она демонстрирует, что компания: 1) Не предусмотрела базовые сценарии безопасности (смена номера телефона). 2) Не обучила службу поддержки корректным действиям в таких ситуациях. 3) Не имеет оперативного механизма для экстренного удаления или блокировки аккаунта при угрозе утечки данных. 4) Нарушает базовые принципы Закона «О персональных данных», согласно которым субъект данных имеет право на их удаление, а оператор обязан обеспечить их защиту. Пока «Самокат» не пересмотрит свои внутренние процессы, каждый его клиент, который когда-либо менял номер телефона, рискует повторить эту пугающую историю. Рекомендация для пользователей: если вы сменили номер и не можете войти в аккаунт, не используйте СберID или другие сторонние сервисы, которые могут конфликтовать с привязкой к номеру. Требуйте от поддержки четкого, прописанного в правилах алгоритма действий. И помните: ваши персональные данные в этой системе могут быть в опасности.

Ps часть переписки добавляю скрином. Пишу по факту инцидента.