В середине января наши настольные игры стоимостью несколько тысяч евро были проданы на Amazon со скидкой 99% за €34 и уехали в две разные точки Германии экспресс-доставкой. И всё это произошло по нашей вине.
В Европе мы продаём наши игры под маркой «The Brainy Band». Несколько лет мы работали только через европейских дистрибьюторов, но полгода назад начали продавать игры на Amazon.
Изучив возможности сервиса, мы решили завести специальный промокод Y4V49T8A со скидкой 99%: на случай, если понадобится быстро доставить игры на одну из европейских выставок, в которых мы регулярно участвуем. Во всяком случае, через Amazon получалось быстрее, чем при доставке с нашего склада в Таллине. Разумеется, этот код знали только наши сотрудники, мы его никому не показывали и, если честно, через некоторое время вообще забыли про него.
Что случилось
В понедельник 14 января мы зашли в личный кабинет Amazon и не поверили своим глазам: 12 января было продано 267 игр на €3441. Это при средних продажах около €50 в день!
А спустя пару минут выяснилось, что вся эта сумма состоит из восьми заказов со скидкой 99% и экспресс-доставкой в два города, расположенных в разных концах Германии: Хойхельхайм и Вайе.
Мы оперативно связались с саппортом Amazon: первый менеджер просто мычал в трубку, после чего переключил на старшего специалиста. Тот сказал: «Я посмотрю, что можно сделать», и спустя полчаса сообщил в письме, что один из восьми заказов застрял из-за отсутствия части товаров на складе, в результате чего его удалось отменить. Ещё один заказ удалось отменить частично. Остальные были успешно переданы получателям.
Коротко: «Привет, шесть заказов мы не отменили, один отменили полностью и ещё один и частично. Я надеюсь, что смог вам помочь»
Как так вышло
Конечно же, всё это случилось благодаря нашей беспечности — мы просто не знали, что так бывает. С другой стороны, если вы держите бумажник в расстёгнутом кармане, это ещё никому не даёт права его у вас забирать.
Скорее всего мошенники не просто угадали код, а использовали так называемый «brute force» или полный перебор: когда программа с огромной скоростью подбирает разные сочетания символов в поле «промокод». На некоторых сайтах при каждой новой попытке появляется капча, но на Amazon такой защиты нет — пробуй хоть миллион промокодов в час.
И хотя с точки зрения европейского законодательства такой способ мошенничества практически недоказуем (и, как следствие, ненаказуем), злоумышленники приняли меры, чтобы обезопасить себя и повысить шансы на успех.
1. Заказ был сделан вечером в субботу, за пару часов до закрытия логистического центра Amazon с экспресс-доставкой. На деле это означает, что заказ оперативно собирают, отдают в доставку и уходят на выходные. И до понедельника хоть обзвонись — никто не остановит отправку.
2. Доставка была оформлена не на домашний адрес или в офис, а в почтовое отделение. Опять же, неплохой способ скрыть место, имеющее отношение к заказчику (например, адрес работы или дома).
3. Заказ был оплачен с помощью подарочных карт Amazon, которые в Германии продаются в каждом супермаркете. Это позволяет не светить данные банковской карты или счёта — достаточно указать произвольное имя и получить посылку, имея на руках только номер заказа.
Чему нас это научило
Во-первых, стало очевидно, что не стоит заводить промокоды с огромной скидкой: особенно «про запас», когда они не нужны здесь и сейчас. Даже если мы уверены, что их никто кроме нас не знает.
Во-вторых, мы сделали то, что надо было сделать изначально — подключили ручное подтверждение заказа, если в нём больше 5 товаров. Теперь ни один крупный заказ физически не может покинуть склад Amazon, пока менеджер не проверит его и не подтвердит в личном кабинете.
В итоге этот урок базовой безопасности обошёлся нам в €3400 или 254000 рублей. Передаём привет нашему «коучу» Кристиану Мекелю (или как там его зовут на самом деле). И конечно же советуем всем, кто продаёт товары на Amazon, быть внимательнее и не повторять наших ошибок.
Про брутфорс вы ошиблись. Небыло там брутфорса. Код слил кто то из сотрудников. Вероятно даже сотрудников амазона. Брутформ это 36 в 8 степени комбинаций. Пинг 10 мс. + время пока сайт подумает. И у амазона наверняка есть ограничение на кол-во запросов в час или в день. Нереально.
Вот скрин из кэша Google. Автор сам накосячил, расходимся.
Текст:
Beim Kauf von mindestens 1 können Sie bei Qualifizierte Artikel aus dem Angebot von The Brainy Band jeweils 10% sparen. Geben Sie den Code Y4V49T8A an der Kasse ein. Weitere Informationen
Очень надеюсь, что вы не занимаетесь ремонтом лифтов / транспорта или чем-то другим, связанным с критическими рисками для жизни и здоровья людей. Потому что такая уверенная оценка ситуации на коленке, без доли сомнения — это адский ад, даже если Банда Умников заблуждается насчёт брутфорса
"наверняка" здесь лишнее слово, таких гигантов просто парсить проблематично, большой пул IP нужен.
Вбил в поиск ваш промокод (если вы тут указали реальный):
Нашло ваш товар, в сохраненной кэшем версии страницы лежит этот код (правда обещает скидку в 10 процентов)
Как всегда, не стоит объяснять злым умыслом то, что можно объяснить глупостью.
Хосспади, да, да, да, еще раз да. Один раз в гугле свой промокод поищи - статью на vc не пиши, экономь время читающих людей.
Возможно, они сейчас в том же коде поменяли скидку на 10%. Что, правда, не объясняет присутствие его в выдаче Google.
На каком основание вы называете людей воспользовавшихся добавленной вами скидкой мошенниками?
Если вы добавили скидку, а люди ее нашли – они не являются мошенниками. Это вы используете "микроскоп для забивания гвоздей" – не думаете о том, что ваш код может либо открыто, либо не открыто отображаться на площадке. И потом еще отказываетесь выполнять обязательство выслать товар человеку оплатившего его на ваших условиях.
Человек скорее всего искал просто выгодные предложения на amazon перебирая все коды... И заказывал то что наиболее выгодно оплачивая gift картами которые приобрел по скидке, чтобы еще больше сэкономить. Уверен, личность он не скрывается, т.к. никакой он не мошенник...
Я тоже об этом сначала подумал, что называть этих людей мошенниками нельзя.
Но потом понял - скидки в открытом доступе не было, она заведомо предназначена для внутреннего пользования.
Это как опустошить банкомат, зная сервисные коды.
Мало того, чтобы получить товар на почте, надо показать свой паспорт. Т.е. аккаунт должен быть на реального человека. Никто не собирался прятаться. А делать поддерльные паспорта в Германии, чтобы купить 6 игр... ну как-то слишком :)
О, прям типичная ситуация: ХАКЕРЫ БРУТФОРС ПРОГРАМИСТЫ НАКОСЯЧИЛИ, а в итоге сам обосрался. HA-HA CLASSIC
Чьи то сотрудники его кинули, вопрос чьи, его или амазона, инфа 100%
На русском форуме всегда сам дурак. А что говорят на неметчине?
Невозможно на сайте перебирать миллион кодов в час.
О, фестиваль буквальных интерпретаций начался. Боюсь представить, как вы воспринимаете фразу "сто лет не был в отпуске")
Это 278 запросов в секунду. Пару десятков виртуалок в легкую выдадут такую производительность.
Понимаю, все говорят про слив изнутри. Дело в том, что доступ имеют несколько человек, которым я доверяю как себе. Я не могу представить и даже думать об этом не готов - у них совершенно иная мотивация работать с нами.
Я скорей верю в какой-то эксплоит, тупой перебор - блин ну это слишком.
Слава богу что вы занимаетесь играми, а не какими нибудь ядерными ракетами. "Ну мы вывели кнопку из ядерного чемоданчика на пульт от телека, а потом чёта как то забыли..."
Честно говоря, я с трудом понимаю какой профит сможет извлечь ваш сотрудник от нескольких десятков игр на английском в Германии.
Потому думаю, что кто то халатно отнесся к хранению кода и его "нашли" в гугле.
Увидели 99% скидку - после этого потратили 34 Евро на игры ... и сами не зная зачем им столько.
В эксплойт не верю - ваш товар слишком сложно быстро и анонимно превратить в деньги.
Да и сумма не такая большая. Похоже, что просто потратили сумму, которую хотели потратить на 1 игру.
Я бы отправил им и последний заказ, с просьбой связаться и рассказать о том, как они нашли кодю
Вот же код прямо на странице товара. Кэш Google от 31 января:
А сотрудникам Амазона?
ну слив не от сотрудника, а от взлома его почты, гугл диска, туду листа или трелло, да мало ли чего. Контакта того же
Не понял, 6 наборов * 3400=20 400 Евро, это ваш убыток, исходя из статьи, цитата в конце статьи - "В итоге этот урок базовой безопасности обошёлся нам в €3400 или 254000 рублей."
Почему вы подумали на своих сотрудников, а не на сотрудников Амазона?
Добрый День! Я админ канала на тему "Бизнес на Амазон". Мы хотели бы сделать выпуск, и посвятить его этой ситуации с промокодоами. Как можно с Вами связаться чтобы обсудить?
Либо ваши сотрудники, либо сотрудники амазон, либо это рекламная статья вашей игры.
Перебор точно нет, амазон банит простой парсинг, а тут деньги.
Кто-то случайно нашел в кэше гугла промокод, очень мало вероятно, надо знать, что ищешь, любой запрос в гугл отличный от самого промокода, приводит к выдаче, в которой конкуренты дерутся между собой.
С чего ради доверять нищебродам из Амазона?
Статья из разряда - "Облажались мы, но представим себя жертвой мошенников или хакеров".
Чуваки, ну это уровень отмазок - младшая школа, всем, кроме вас очевидно, кто тут налажал. Такие истории постоянно происходят с акциями и скидками компаний, но называть покупателей мошенниками - тут вы еще и имидж компании сознательно сливаете под корень. Наймите PR-специалиста, который научит вас работать с такими кейсами и обращать такие случаи в рекламу, денег может еще и отобьете.
Вася, статья называется "Факап", и она про нашу ошибку ) Мы не делали никакой маркетинговой акции, это служебный промокод. И кто-то нашёл способ его заполучить. "Не делайте как мы" - вот посыл статьи.
Ну и спасибо, конечно, за совет использовать такие случаи в PR, очень ценный совет! Думаю, вот, может статью про это случай написать? :)
Там есть галочка, которую нужно было снять, и тогда бы код не светился на странице. Исключительно ваша ошибка
Э, а зачем такая галочка, чтобы светить код на странице??
Что? У Амазона нет защиты от брута промокодов? Не верю! Ищите крысу...
Комментарий удален модератором
Тоже об этом подумал, кто-то из своих
Комментарий удален модератором
Хорошая реклама.
И недорого...
Отличный кейс как надо работать с продвижением через сторителлинг!
Браво!
Мы один раз попали в просак из-за ошибки с ценами. С юридической точки зрения, если я оформил заказ по явно ошибочной цене, как магазин должен мне отказать в рамках закона?
Никак. Только договариваться с вами и рассчитывать на вашу поддержку)
Здесь много нюансов. Но, в целом, магазин может обратиться в суд за признанием сделки кабальной.
Сочувствую. Но зачем иметь промокод на 99% скидки, это же только для друзей получается? Тогда проще самому отправить.
«...на случай, если понадобится быстро доставить игры на одну из европейских выставок, в которых мы регулярно участвуем» ;-)
Recipe for disaster
1 вопрос. Зачем кому-то 267 детских обучающих ноунейм игр?
Хороший вопрос.
Написал бы автор покупателю (в местной немецкой соц сети наверняка же найдется этот человек), договорились бы о покупке обратно... Все равно покупателю сливать потом этот товар (скорее всего дешевле автора на том же amazon-ebay и будет продавать, подпортив еще и автору будущие продажи)...
Но хотя автору религия не позволит наверное... покупатель же мародер и мошенник.. с такими честные предприниматели бизнес не ведут.
На ибее толкать за полцены.
На русском языке как игры называются ваши?
Самые актуальные игры автора на сегодня: настольные игры "Проныры" и "Прогеры" и квестик "Шпионский" - как чувствовали...
А бы ли "взлом"? Может это попытка вирусной рекламы.
Блог вам помог - глаза открыл, прямо с пользой кейс разместили
Это такой нативый пиар, как купить type(brandname) :: ..., в type(shopname) :: ..., да еще с быстрой доставкой, оплатой по подарочным картам да еще и промокоды есть?
Здесь мошенники уровня тех, кто заправляет тачки своих друзей по кешбэк карте альфабанка -10%, а альфа банк потом не платит им) Я бы на месте узнавшего код вообще не парился, заказал бы на свою кредитку и собственный адрес. А потом бы за "мошенника" еще и засудил, в Германии то это просто небось.
Комментарий недоступен
Что ты вы напутали... во всем виноваты русские хакеры, а немцы - это цивилизованная нация!
Исправьте пожалуйста
Да кто будет брутфорсить настольные игры, полно-те вам!
Что то автор мудрит. Нет ущерба на 3400. Тут недополученная выгода в каком то размере. А сам ущерб - стоимость изготовления бумажных игр, сомневаюсь, что она грандиозная.
Не пудрите мозги своими псевоправильными выводами
Из этой статьи очевидно, что Антон Семенов и вся его команда - просто не профессионалы. Заголовок - кликбейт. Где тут мошенники? Какую статью законодательства они нарушили?
Из этого комментария очевидно, что Дмитрий Егоров и вся его поверхностная критика - просто частный пример дислексии и неспособности внимательно прочитать короткий материал.
На airbnb человек сдает квартиры. Неправильно выставил цену, не разобравшись с календарем. И о боже, какой-то "мошенник" гад, забронировал его хоромы за 1 рубль. Всюду мошенники...
Тут тонкая грань между предприимчивостью и мародёрством. Лично я бы, снимая квартиру у частника, который по ошибке поставил "1 руб.", заранее указал бы ему на ошибку и уточнил реальные условия.
Цену он "неправильно" выставил, чтобы первым в списке по цене быть.
Так что он хитрец и лгун.
Я бы бронировал по указанной цене в 1 рубль и не переспрашивал бы...
заголовок в лучших традициях postimees) Да и с этим кодом Вы что-то темните: сначала скидка 99% потом 10, сейчас вообще стёрт..
согласен, слили свои же. да кому надо брутить целенаправленно именно ваш дорогой товар, при этом он должен иметь инфу, что как минимум там стоящая скидка. а если б было 5 евро? А если вообще ее не было бы? А товар неликвидный для перепродажи, гифт карты покупают кардеры обычно, вам еще и чарджбек тогда придет через месяц, если они, оформлено на дропа.
Вот безос крыса - то а. Конечно, от такого урода жены сбегают.
Человеческий фактор, он такой, вы очень бюджетно отделались
удален
Амазон хорош, так быстро отгрузил столько товаров. И да, с какого фига он отменил один заказ. Промокод ваш? Ваш. Действующи? Ещё как! Всё по чесноку.
Это скорее всего не брутфорс, кто-то из ваших сотрудников заюзал промокод мли слил его..
"Скупой платит дважды" (с)
Ребята решили таким образом сэкономить на доставке и страховке. Сэкономили. Возможно?
«У меня обезвоживание»: как страдают подчиненные Безоса
Сотрудники Amazon рассказали об ужасающих рабочих условиях в компании
https://www.gazeta.ru/tech/2018/07/31/11877577/amazon_evil.shtml
Комментарий удален модератором