Факап на Amazon: как «подарить» немецким мошенникам промокод на 99% и потерять товар на €3400
В середине января наши настольные игры стоимостью несколько тысяч евро были проданы на Amazon со скидкой 99% за €34 и уехали в две разные точки Германии экспресс-доставкой. И всё это произошло по нашей вине.
В Европе мы продаём наши игры под маркой «The Brainy Band». Несколько лет мы работали только через европейских дистрибьюторов, но полгода назад начали продавать игры на Amazon.
Изучив возможности сервиса, мы решили завести специальный промокод Y4V49T8A со скидкой 99%: на случай, если понадобится быстро доставить игры на одну из европейских выставок, в которых мы регулярно участвуем. Во всяком случае, через Amazon получалось быстрее, чем при доставке с нашего склада в Таллине. Разумеется, этот код знали только наши сотрудники, мы его никому не показывали и, если честно, через некоторое время вообще забыли про него.
Что случилось
В понедельник 14 января мы зашли в личный кабинет Amazon и не поверили своим глазам: 12 января было продано 267 игр на €3441. Это при средних продажах около €50 в день!
Статистика продаж по дням на Amazon
А спустя пару минут выяснилось, что вся эта сумма состоит из восьми заказов со скидкой 99% и экспресс-доставкой в два города, расположенных в разных концах Германии: Хойхельхайм и Вайе.
Один из заказов: цена товаров — €1989, к оплате — €19,88
Мы оперативно связались с саппортом Amazon: первый менеджер просто мычал в трубку, после чего переключил на старшего специалиста. Тот сказал: «Я посмотрю, что можно сделать», и спустя полчаса сообщил в письме, что один из восьми заказов застрял из-за отсутствия части товаров на складе, в результате чего его удалось отменить. Ещё один заказ удалось отменить частично. Остальные были успешно переданы получателям.
Коротко: «Привет, шесть заказов мы не отменили, один отменили полностью и ещё один и частично. Я надеюсь, что смог вам помочь»
Как так вышло
Конечно же, всё это случилось благодаря нашей беспечности — мы просто не знали, что так бывает. С другой стороны, если вы держите бумажник в расстёгнутом кармане, это ещё никому не даёт права его у вас забирать.
Скорее всего мошенники не просто угадали код, а использовали так называемый «brute force» или полный перебор: когда программа с огромной скоростью подбирает разные сочетания символов в поле «промокод». На некоторых сайтах при каждой новой попытке появляется капча, но на Amazon такой защиты нет — пробуй хоть миллион промокодов в час.
И хотя с точки зрения европейского законодательства такой способ мошенничества практически недоказуем (и, как следствие, ненаказуем), злоумышленники приняли меры, чтобы обезопасить себя и повысить шансы на успех.
1. Заказ был сделан вечером в субботу, за пару часов до закрытия логистического центра Amazon с экспресс-доставкой. На деле это означает, что заказ оперативно собирают, отдают в доставку и уходят на выходные. И до понедельника хоть обзвонись — никто не остановит отправку.
2. Доставка была оформлена не на домашний адрес или в офис, а в почтовое отделение. Опять же, неплохой способ скрыть место, имеющее отношение к заказчику (например, адрес работы или дома).
3. Заказ был оплачен с помощью подарочных карт Amazon, которые в Германии продаются в каждом супермаркете. Это позволяет не светить данные банковской карты или счёта — достаточно указать произвольное имя и получить посылку, имея на руках только номер заказа.
Чему нас это научило
Во-первых, стало очевидно, что не стоит заводить промокоды с огромной скидкой: особенно «про запас», когда они не нужны здесь и сейчас. Даже если мы уверены, что их никто кроме нас не знает.
Во-вторых, мы сделали то, что надо было сделать изначально — подключили ручное подтверждение заказа, если в нём больше 5 товаров. Теперь ни один крупный заказ физически не может покинуть склад Amazon, пока менеджер не проверит его и не подтвердит в личном кабинете.
В итоге этот урок базовой безопасности обошёлся нам в €3400 или 254000 рублей. Передаём привет нашему «коучу» Кристиану Мекелю (или как там его зовут на самом деле). И конечно же советуем всем, кто продаёт товары на Amazon, быть внимательнее и не повторять наших ошибок.
Материал опубликован пользователем.
Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.
Про брутфорс вы ошиблись. Небыло там брутфорса. Код слил кто то из сотрудников. Вероятно даже сотрудников амазона. Брутформ это 36 в 8 степени комбинаций. Пинг 10 мс. + время пока сайт подумает. И у амазона наверняка есть ограничение на кол-во запросов в час или в день. Нереально.
Вот скрин из кэша Google. Автор сам накосячил, расходимся.
Текст:
Beim Kauf von mindestens 1 können Sie bei Qualifizierte Artikel aus dem Angebot von The Brainy Band jeweils 10% sparen. Geben Sie den Code Y4V49T8A an der Kasse ein. Weitere Informationen
Вряд ли кто-то "случайно" нашел этот промокод в кеше гугла, который действительно через хром почти все индексирует, скорее всего, свои и кинули, еще вариант что сотрудники амазона, кто-то из модераторов.
Очень надеюсь, что вы не занимаетесь ремонтом лифтов / транспорта или чем-то другим, связанным с критическими рисками для жизни и здоровья людей. Потому что такая уверенная оценка ситуации на коленке, без доли сомнения — это адский ад, даже если Банда Умников заблуждается насчёт брутфорса
Ну сейчас вы пропустили дефис, технически это ошибка. А насчёт первого высказывания — оно очевидно поверхностное: "наверняка", "код слил кто то из сотрудников". Очевидно, что вы не можете знать наверняка, даже если что-то посчитали. Очевидно, что нельзя вот так сразу винить людей. Но не для всех видимо
Грамотическиеошибки. Чепуха. Суть не меняют. ))). Чем больше узнаю людей, тем больше люблю животных. (С). Очевидно что используя принцип бритвы Окамы виноваты сотрудники. Очевидно что это не брутфорс.
Поддерживаю. Брутфорс самое маловероятное событие. Действительно либо слив сотрудников либо какая-то бага в Амазон через которую можно подсмотреть промо-коды.
Подозрительные комментарии, защищающие возможных пособников мошенников со свежезарегенного акка. Очевидно, что автора зовут не Кирилл Денисов.
«Банда умников», вот вам и подтверждение того, что «крыса» где-то у вас.
Но это неточно.
Наверняка - это основываясь на опыт. У али и ибея ограничения есть. Если мы говорим 1, потом 2, то с большей степенью вероятности дальше будет 3.
Мы парсим ибей, амазон, али. Парсим, потом ищем одинаковые товары, спарсить это сложность 10% посравнению с тем что в разных названиях и картинках определить одинаковые товары... IP вообще не проблема, прокси продаются по доллару за штуку. Если делать правильно и потом помещать адреса в отстойник это не та та проблема над которой переживают.
Вбил в поиск ваш промокод (если вы тут указали реальный):
Нашло ваш товар, в сохраненной кэшем версии страницы лежит этот код (правда обещает скидку в 10 процентов)
На каком основание вы называете людей воспользовавшихся добавленной вами скидкой мошенниками?
Если вы добавили скидку, а люди ее нашли – они не являются мошенниками. Это вы используете "микроскоп для забивания гвоздей" – не думаете о том, что ваш код может либо открыто, либо не открыто отображаться на площадке. И потом еще отказываетесь выполнять обязательство выслать товар человеку оплатившего его на ваших условиях.
Человек скорее всего искал просто выгодные предложения на amazon перебирая все коды... И заказывал то что наиболее выгодно оплачивая gift картами которые приобрел по скидке, чтобы еще больше сэкономить. Уверен, личность он не скрывается, т.к. никакой он не мошенник...
Действие "заказать на сайте со скидкой" не является уголовным преступлением. Собственно, автор сам написал, что сами накосячили и получили урок. Аналогия с банкоматом не совсем корректна, так как в случае банкомата это как раз уголовка.
Действие "заказать на сайте со скидкой" - не уголовное преступление.
Действие "использование служебной информации для получения личной выгоды" - уголовное преступление.
Очевидно, что промокод не угадали и не подобрали брутфорсом, т.к. чтобы что-то найти надо знать, что искать.
Значит это 100% косяк на стороне автора, покупатель - не мошенник.
Beim Kauf von mindestens 1 können Sie bei Qualifizierte Artikel aus dem Angebot von The Brainy Band jeweils 10% sparen. Geben Sie den Code Y4V49T8A an der Kasse ein.
Ну покупатель просто ввел код на скидку 10% - сработала скидка на больше - вот и решил заказать на все деньги))) еще и другу в германии посоветовал - тот тоже заказал)))
А как же тогда гугл успел ранее проиндексировать 10% на этот код? Я могу допустить мысль что там было указано 10% правильно просто не тот код указали- сами ошиблись....
Я думаю, что нужно посмотреть в договор амазона. Если амазон как площадка допускает подобное служебное использование промокодов, то я с вами соглашусь. А если там написано что-то вроде "промокод применяется для предоставления скидки конечному клиенту", то не могу согласиться.
Да, откуда этот человек знает была ли скидка открыта или нет. Он просто искал все доступные скидки удобным ему способом.
И что значит закрытая скидка? Кем закрыта? Доступна только подписчикам? Если я пользуюсь скидкой доступной подписчикам, не являясь подписчиком я мошенник?
Слушайте, а использование инфраструктуры амазона для быстрой доставки товара себе же - по такой же логике не является мошенничеством? Амазону окупается экспресс доставка товара со скидкой 90%? Если не окупается, то состав есть.
Амазону вообще пофиг. Скидка влияет только на то, что получает в конце продавец, который продает через эту платформу. Сбор за сервис, склад, упаковку и пересылку всё ещё оплачивается полностью продавцом Амазону
Существует куча сайтов-форумов с миллионной посещаемостью (типа RetailMeNot), публикующие коды на скидки без указания источника. Понятно, что часть кодов напрямую берут от площадок, но логично же им по максимуму кодов публиковать у себя, – беря их из всех возможных источников, а не только официальных, в том числе UGC коды (предоставленные посетителями сайта-форума).
Т.е. получается многие подобные сайты мошенники, – т.к. агрегируют коды не предназначенные им? Ну хоть люди берущие коды с этих сайтов уже с вашей милости не мошенники...
Но что-то вы загнули.
Есть код, есть аккаунт человека на сервисе. Если код подходит в аккаунт – человеку печенька, и он молодец. Если код не подходит – сервис правильно настроен не дал печеньку, тому кто ее не должен был получить.
Никакого мошенничества и хакерства тут нет. Только хитрож*пость автора статьи, попытавшегося спихнуть на amazon свой косяк и поплакаться на VC (для поднятия своей самооценки), осквернив представителя одной из самых из добропорядочных наций.
Тут выяснилось, что промокод был размещен на Amazon и предлагал скидку 10%. Так что это полностью косяк автора и покупатель не мошенник.
Beim Kauf von mindestens 1 können Sie bei Qualifizierte Artikel aus dem Angebot von The Brainy Band jeweils 10% sparen. Geben Sie den Code Y4V49T8A an der Kasse ein. Weitere Informationen
Сайты-форумы, публикующие скидки и промокоды без указания источников, на этом зарабатывают. Эти коды, без указания источников, дает им напрямую продавец. Это называется партнерская программа.
Условный Samsung дает тебе промокод PROMO-AM8AM, ты им делишься, покупатель получает скидку, ты получаешь $1,5.
А здесь идет речь о другом, не надо подменять понятия.
Мошенником называть кого-либо можно после решения суда, вступившего в законную силу. А то потом получите иск о защите чести и достоинства и напишете статью: "Факап в суде: как мы некомпетентно написали статью и потеряли €10000."
Тут вообще везде подстава — с одной стороны, нужно стоять рядом с банкоматом, чтобы деньги никто не забрал и он зажевал их обратно. С другой стороны, не взяв денег, не узнаешь, сколько там. С третьей — когда вы последний раз проверяли банкомат, пересчитывая выданные деньги?
Если банкомат выдал лишние 10 листов в пачке (вероятность этого примерно 0), то это повезло и можно их спокойно забрать.
А если банкомат выдал 40х5000 вместо 40х100 (99% ошибок банкоматов связаны с ошибочной загрузкой), то тут придется вернуть. И лучше это сделать самому, а не в рамках уголовного дела.
То есть надо ещё снимать на сертифицированный видеорегистратор, что ты этих денег не брал. Скоро всю жизнь придётся снимать на видео, чтобы случайно никто ни в чём не обвинил.
Хотя у обвинения всегда остаётся «в неустановленное время в неустановленном месте неустановленным способом похитил ... млн ₽».
А мелочь завалявшуюся в автомате по продаже билетов на транспорт тоже нельзя брать? Если вам аппарат дал сдачу мелочью, вы обязаны ее пересчитать и положить лишнее обратно?
Мало того, чтобы получить товар на почте, надо показать свой паспорт. Т.е. аккаунт должен быть на реального человека. Никто не собирался прятаться. А делать поддерльные паспорта в Германии, чтобы купить 6 игр... ну как-то слишком :)
В Германии для этого паспорт не нужен. В каждом районе есть packet-station, вводите пин код посылки и забираете товар. А регистрацию в Аназоне делаете на John Doe.
Это вообще-то станции для ОТПРАВКИ посылок, а не для получения. Все посылки доставляются на дом, если дома нет, то в ближайший киоск (выбрать это нелдьзя, решает сам почтальон).
В частности: «Укажите адрес Packstation в качестве адреса получателя и получайте посылки в любое время и в любом месте. Просто выберите доставку на упаковочную станцию при оформлении заказа. DHL делает это с предпочтительной доставкой.»
я почему-то более чем уверен что его сотрудники и кинули, брутфорс на амазоне уж точно не возможен, а взлом крайне маловероятен. в амазоне ботом практически ничего невозможно сделать, бан сразу, умников таких очень много.
Понимаю, все говорят про слив изнутри. Дело в том, что доступ имеют несколько человек, которым я доверяю как себе. Я не могу представить и даже думать об этом не готов - у них совершенно иная мотивация работать с нами.
Я скорей верю в какой-то эксплоит, тупой перебор - блин ну это слишком.
Слава богу что вы занимаетесь играми, а не какими нибудь ядерными ракетами. "Ну мы вывели кнопку из ядерного чемоданчика на пульт от телека, а потом чёта как то забыли..."
На самом деле, конечно, это решение проблем "с помощью синей изоленты" :)
Но мы пишем для таких же малых бизнесов, которые тоже могут попробовать использовать такие "лайфхаки"
Честно говоря, я с трудом понимаю какой профит сможет извлечь ваш сотрудник от нескольких десятков игр на английском в Германии.
Потому думаю, что кто то халатно отнесся к хранению кода и его "нашли" в гугле.
Увидели 99% скидку - после этого потратили 34 Евро на игры ... и сами не зная зачем им столько.
В эксплойт не верю - ваш товар слишком сложно быстро и анонимно превратить в деньги.
Да и сумма не такая большая. Похоже, что просто потратили сумму, которую хотели потратить на 1 игру.
Я бы отправил им и последний заказ, с просьбой связаться и рассказать о том, как они нашли кодю
Гугл не врёт. Но мы говорим о ситуации, которая развивалась 12-14 января. После этого номинал промокода сразу изменили (10%), потом стали использовать на странице товара.
Не понял, 6 наборов * 3400=20 400 Евро, это ваш убыток, исходя из статьи, цитата в конце статьи - "В итоге этот урок базовой безопасности обошёлся нам в €3400 или 254000 рублей."
Добрый День! Я админ канала на тему "Бизнес на Амазон". Мы хотели бы сделать выпуск, и посвятить его этой ситуации с промокодоами. Как можно с Вами связаться чтобы обсудить?
Либо ваши сотрудники, либо сотрудники амазон, либо это рекламная статья вашей игры.
Перебор точно нет, амазон банит простой парсинг, а тут деньги.
Кто-то случайно нашел в кэше гугла промокод, очень мало вероятно, надо знать, что ищешь, любой запрос в гугл отличный от самого промокода, приводит к выдаче, в которой конкуренты дерутся между собой.
Статья из разряда - "Облажались мы, но представим себя жертвой мошенников или хакеров".
Чуваки, ну это уровень отмазок - младшая школа, всем, кроме вас очевидно, кто тут налажал. Такие истории постоянно происходят с акциями и скидками компаний, но называть покупателей мошенниками - тут вы еще и имидж компании сознательно сливаете под корень. Наймите PR-специалиста, который научит вас работать с такими кейсами и обращать такие случаи в рекламу, денег может еще и отобьете.
Вася, статья называется "Факап", и она про нашу ошибку ) Мы не делали никакой маркетинговой акции, это служебный промокод. И кто-то нашёл способ его заполучить. "Не делайте как мы" - вот посыл статьи.
Ну и спасибо, конечно, за совет использовать такие случаи в PR, очень ценный совет! Думаю, вот, может статью про это случай написать? :)
Антон, заголовок статьи содержит слово "мошенникам", т.е. Вы утверждаете, что против Вашей компании было совершено уголовное преступление. Тем более, Вы пишете это на сайте СМИ и по этому поводу уже прокуратура может "самовозбудиться". Далее в статье выходит, что каким-то образом этот подарочный код был опубликован и впоследствии использован. В чем тут мошенничество - неясно. Я сам лично покупал товары со скидкой 70 и 80% и никто не кричал, что я мошенник. В Финляндии в супермаркете K-Supermarket раздают товары с истекающим сроком годности БЕСПЛАТНО(т.е. скидка составляет 100%).
"служебный промокод" - откуда покупателю известно, служебный он или нет? Ему вообще пох, с какими целями Вы создаете эти промокоды - поиграться, потешить самолюбие, на спор, чтобы записать
ДР тещи, отомстить начальнику-мудаку.
"статью про это случай написать" - статью Вы уже написали, но вот немного не так. Надо чутка задумываться над целями статьи и последствиях. В данном случае историю нужно по-другому преподносить, любой опытный менеджер рекламного агентства Вам может рассказать, как выжать из этого случая максимальную выгоду, раз уж такая беда случилась.
Видимо живет где то у себя на планете, где все его сотрудники честные, благородные люди.
Можно ситуацию представить.
Я "хацкер". Сижу такой на амазоне, ищу настолки. Опа, нашел цветастую какую то. Дайка, думаю, начну перебирать промо-коды, вдруг повезет, мне же делать то нехер.
Опа! Нашел! Да еще и 99%! Надо все покупать из Германии! Сдадим их серым продавцам детских настольных игр!
Из амазоновских. ТС начал почеум-то гнать на своих сотрудников. Нахрена им что-то в Германии? А у работников Амазона уже налаженная схема воровства. Все же слышали о случаях, когда приходит пустая коробка вместо товара.
К сожалению, это невозможно прояснить - я пишу о том, какой расклад мне кажется вероятнее исходя из всего, что я знаю об этой ситуации и консультаций с экспертами. В любом случае, это кейс про то, как делать не надо!
Мы один раз попали в просак из-за ошибки с ценами. С юридической точки зрения, если я оформил заказ по явно ошибочной цене, как магазин должен мне отказать в рамках закона?
Самим такую перетрубацию придумать проблематично, 100% трустори :) Да и, на самом деле, в реальной работе хватает всего весёлого о чём писать. Времени не хватает правда.
Уже писал в одной из веток: в статье говорим о ситуации 12-14 января. После этого номинал промокода сразу изменили (был 99%, стал 10%), потом стали использовать на странице товара
Осталось теперь чтобы горе-писака объяснил целесообразность уменьшения промо с 99% скидки до 10.
По мне пахнет заметанием следов перед начальством. Отсюда и непрофессиональные побасенки про хакеров...брутфорс....подарочные карты.... А уж сколько напридумывано.
>неплохой способ скрыть место
Покупатель свои лапы и хвост на почте будет предъявлять при получении?
Дочитай до того места, где написано, что для получения оплаченной посылки в Германии достаточно номера заказа (трек-номера). А то ты пролистал статью, прочитал 5 комментариев местных конспирологов и поднял визг. Самому не противно?
Написал бы автор покупателю (в местной немецкой соц сети наверняка же найдется этот человек), договорились бы о покупке обратно... Все равно покупателю сливать потом этот товар (скорее всего дешевле автора на том же amazon-ebay и будет продавать, подпортив еще и автору будущие продажи)...
Но хотя автору религия не позволит наверное... покупатель же мародер и мошенник.. с такими честные предприниматели бизнес не ведут.
