18+
45 дней сериалов
и фильмов по промокоду:
VC45
Активировать

Как нас подставил бывший сотрудник

Привет! Меня зовут Влад и я работаю маркетологом в мобильном приложении SkinSwipe. Это удобный сервис для обмена игровыми предметами из CS:GO, Dota 2 и Team Fortress 2.

В приложении есть Premium-подписка и монеты. Это две главных ценности для пользователей.

Ночью 22 ноября я получаю сообщение от юзера о том, что некто начал продавать промокоды на Premium и монеты (мы можем создавать их через собственную админку). Сначала я подумал, что это просто скам, но решил провести контрольную закупку. И действительно, "товар" оказался рабочим.

Мамкины бизнесмены...

Промокоды можно было получить только одним способом — создать из админки. Я проверил логи и был неприятно удивлен: некто создал сотни промокодов и, по всей видимости, начал их распространять.

Стоит ли говорить, что такая "акция" может негативно сказаться на экономике приложения?

И сделано это было именно в выходные, когда вся команда отдыхала.

Ненадолго я представил себя Шерлоком: проверив ip, с которого создавали промокоды и применив метод дедукции, стало ясно — кротом оказался наш бывший сотрудник тех. поддержки.

К сожалению, мы имели один логин/пароль для доступа в админку на всю команду, и даже не подумали, что может случиться что-то экстраординарное. Но "что-то" случилось.

Юзеры с миллиардами монет. Для понимания, пак из 1000 монет стоит 179 рублей.

Также мне удалось выяснить, что в распространении промокодов участвовала целая ОПГ. У нас есть активная конференция ВКонтакте: модераторами там я назначил, казалось, проверенных Premium-подписчиков. И каково было мое разочарование, когда я узнал, что весь модераторский-состав занимался продажей промокодов, а это около 5-6 человек.

Картина сложилась: наш бывший саппорт решил напоследок нагадить, сгенерировал кучу кодов, разослал их модераторам, а те в свою очередь начали "бизнес". И ведь были те, кто воспользовался их услугами.

По итогу мы отключили все созданные промокоды, создали индивидуальные пароли для доступа в админку, а участников карнавала забанили.

Мораль: не забывайте забирать доступы у бывших сотрудников.

P.S: причем, каких-то причин для такого поступка мы не давали. Деньги были заплачены и мы хотели сотрудничать с человеком в других проектах, но видно не судьба.

{ "author_name": "Влад Пырх", "author_type": "self", "tags": [], "comments": 7, "likes": -4, "favorites": 1, "is_advertisement": false, "subsite_label": "life", "id": 186272, "is_wide": false, "is_ugc": true, "date": "Fri, 11 Dec 2020 23:25:29 +0300", "is_special": false }
18+
45 дней сериалов и фильмов по промокоду VC45
Активировать
0
7 комментариев
Популярные
По порядку
Написать комментарий...
4

А мне интересно. Как был прекращена «работа» с этим «сотрудником».

Словесный договор «ну мы тебя «уволили», и у тебя остался логин и пароль для входа, мы его менять не будем, но ты не заходи пожалуйста, хорошо ?»

Это выглядит, как человека научили мату и сказали: «мы тебя научили, но ты не ругайся, хорошо ?»

Ответить
0

Мы оптимизировали Тех. Поддержку и планировали перебросить товарища на другие проекты, о чем также ему говорили

Ответить
4

Один пароль в админку на всю команду. Да вы подарок для хакеров и сама наивность. Ещё и пароли не сменили после увольнения. Что могло пойти не так?

Ответить
0

Команда маленькая, доверие было сильное, даже не подумали о таком :)

Ответить
0

Вот вам и операционные риски...

Ответить
0

Это как оставить ключи от квартиры бывшей, а потом удивляться, что твоя рубашка продаётся на ближайшем рынке. И "ведь нормально разошлись" тут не работает, разошлись - забирай ключи.

Ответить
0

Будем мудрее теперь

Ответить

Комментарии

null