Факап на Amazon: как «подарить» немецким мошенникам промокод на 99% и потерять товар на €3400

В середине января наши настольные игры стоимостью несколько тысяч евро были проданы на Amazon со скидкой 99% за €34 и уехали в две разные точки Германии экспресс-доставкой. И всё это произошло по нашей вине.

В Европе мы продаём наши игры под маркой «The Brainy Band». Несколько лет мы работали только через европейских дистрибьюторов, но полгода назад начали продавать игры на Amazon.

Изучив возможности сервиса, мы решили завести специальный промокод Y4V49T8A со скидкой 99%: на случай, если понадобится быстро доставить игры на одну из европейских выставок, в которых мы регулярно участвуем. Во всяком случае, через Amazon получалось быстрее, чем при доставке с нашего склада в Таллине. Разумеется, этот код знали только наши сотрудники, мы его никому не показывали и, если честно, через некоторое время вообще забыли про него.

Что случилось

В понедельник 14 января мы зашли в личный кабинет Amazon и не поверили своим глазам: 12 января было продано 267 игр на €3441. Это при средних продажах около €50 в день!

Статистика продаж по дням на Amazon

А спустя пару минут выяснилось, что вся эта сумма состоит из восьми заказов со скидкой 99% и экспресс-доставкой в два города, расположенных в разных концах Германии: Хойхельхайм и Вайе.

Один из заказов: цена товаров — €1989, к оплате — €19,88

Мы оперативно связались с саппортом Amazon: первый менеджер просто мычал в трубку, после чего переключил на старшего специалиста. Тот сказал: «Я посмотрю, что можно сделать», и спустя полчаса сообщил в письме, что один из восьми заказов застрял из-за отсутствия части товаров на складе, в результате чего его удалось отменить. Ещё один заказ удалось отменить частично. Остальные были успешно переданы получателям.

Коротко: «Привет, шесть заказов мы не отменили, один отменили полностью и ещё один и частично. Я надеюсь, что смог вам помочь»

Как так вышло

Конечно же, всё это случилось благодаря нашей беспечности — мы просто не знали, что так бывает. С другой стороны, если вы держите бумажник в расстёгнутом кармане, это ещё никому не даёт права его у вас забирать.

Скорее всего мошенники не просто угадали код, а использовали так называемый «brute force» или полный перебор: когда программа с огромной скоростью подбирает разные сочетания символов в поле «промокод». На некоторых сайтах при каждой новой попытке появляется капча, но на Amazon такой защиты нет — пробуй хоть миллион промокодов в час.

И хотя с точки зрения европейского законодательства такой способ мошенничества практически недоказуем (и, как следствие, ненаказуем), злоумышленники приняли меры, чтобы обезопасить себя и повысить шансы на успех.

1. Заказ был сделан вечером в субботу, за пару часов до закрытия логистического центра Amazon с экспресс-доставкой. На деле это означает, что заказ оперативно собирают, отдают в доставку и уходят на выходные. И до понедельника хоть обзвонись — никто не остановит отправку.

2. Доставка была оформлена не на домашний адрес или в офис, а в почтовое отделение. Опять же, неплохой способ скрыть место, имеющее отношение к заказчику (например, адрес работы или дома).

3. Заказ был оплачен с помощью подарочных карт Amazon, которые в Германии продаются в каждом супермаркете. Это позволяет не светить данные банковской карты или счёта — достаточно указать произвольное имя и получить посылку, имея на руках только номер заказа.

Чему нас это научило

Во-первых, стало очевидно, что не стоит заводить промокоды с огромной скидкой: особенно «про запас», когда они не нужны здесь и сейчас. Даже если мы уверены, что их никто кроме нас не знает.

Во-вторых, мы сделали то, что надо было сделать изначально — подключили ручное подтверждение заказа, если в нём больше 5 товаров. Теперь ни один крупный заказ физически не может покинуть склад Amazon, пока менеджер не проверит его и не подтвердит в личном кабинете.

В итоге этот урок базовой безопасности обошёлся нам в €3400 или 254000 рублей. Передаём привет нашему «коучу» Кристиану Мекелю (или как там его зовут на самом деле). И конечно же советуем всем, кто продаёт товары на Amazon, быть внимательнее и не повторять наших ошибок.

0
189 комментариев
Написать комментарий...
Vadim Gregorev

Про брутфорс вы ошиблись. Небыло там брутфорса. Код слил кто то из сотрудников. Вероятно даже сотрудников амазона. Брутформ это 36 в 8 степени комбинаций. Пинг 10 мс. + время пока сайт подумает. И у амазона наверняка есть ограничение на кол-во запросов в час или в день. Нереально.

Ответить
Развернуть ветку
Кирилл Денисов

Очень надеюсь, что вы не занимаетесь ремонтом лифтов / транспорта или чем-то другим, связанным с критическими рисками для жизни и здоровья людей. Потому что такая уверенная оценка ситуации на коленке, без доли сомнения — это адский ад, даже если Банда Умников заблуждается насчёт брутфорса

Ответить
Развернуть ветку
Vadim Gregorev

Я где то ошибся? Аргументируете?

Ответить
Развернуть ветку
Кирилл Денисов

Ну сейчас вы пропустили дефис, технически это ошибка. А насчёт первого высказывания — оно очевидно поверхностное: "наверняка", "код слил кто то из сотрудников". Очевидно, что вы не можете знать наверняка, даже если что-то посчитали. Очевидно, что нельзя вот так сразу винить людей. Но не для всех видимо

Ответить
Развернуть ветку
Vadim Gregorev

Грамотическиеошибки. Чепуха. Суть не меняют. ))). Чем больше узнаю людей, тем больше люблю животных. (С). Очевидно что используя принцип бритвы Окамы виноваты сотрудники. Очевидно что это не брутфорс.

Ответить
Развернуть ветку
Icon Detective

Гуманитарии не согласны. Может они не понимают, что такое степень числа?

Ответить
Развернуть ветку
Vadim Gregorev

Обычным каркулятором не посчитать. Но гугл знает тот каркулятор у которого хватит нулей.

Ответить
Развернуть ветку
186 комментариев
Раскрывать всегда