{"id":7302,"title":"$200 \u0442\u044b\u0441\u044f\u0447 \u043d\u0430 \u0441\u0442\u0440\u0430\u0445\u043e\u0432\u043a\u0443 \u0432 \u043f\u043e\u0435\u0437\u0434\u043a\u0430\u0445 \u0438 17 \u0432\u0430\u043b\u044e\u0442 \u043d\u0430 \u043e\u0434\u043d\u043e\u0439 \u043a\u0430\u0440\u0442\u0435","url":"\/redirect?component=advertising&id=7302&url=https:\/\/vc.ru\/promo\/295992-korotko-karta-dlya-puteshestvennikov&placeBit=1&hash=116250a21a81e5a548d838f9f86dac8dfd20ac6f36c6c2f8b9a9a56056948502","isPaidAndBannersEnabled":false}

Постаматы PickPoint стали автоматически открывать дверцы в результате кибератаки Статьи редакции

Сбой обещают устранить до утра 5 декабря.

В работе сервиса постаматов PickPoint произошел сбой из-за кибератаки — постаматы стали открывать двери․ Запись об этом появилась в официальном сообществе «ВКонтакте» (уже удалена). В компании подтвердили vc.ru факт сбоев.

Сбой зафиксировали 4 декабря в 15:06 мск, добавили в компании. Неизвестные устроили кибератаку на провайдеров, обеспечивающих доступ в интернет для постаматов.

PickPoint создала «Штаб оперативного реагирования» и займется восстановлением системы в ближайшее время. «Дистанционно провести эту работу невозможно, необходим физический выезд на каждую точку, поэтому работы будут вестись всю ночь. Точки, которые не доступны в ночное время, будут восстановлены завтра с утра», — сообщили в компании.

Пока техническая поддержка советует выключить постамат из розетки и закрыть дверцы.

Добавлено 8 декабря: К 7 декабря PickPoint удалось восстановить работоспособность сети постаматов на 95%, сообщила компания. Хакерская атака на постаматную сеть затронула более 2,5 тысяч постаматов — в них было 49 тысяч заказов на 150 млн рублей. В итоге были утеряны до 1 тысяч заказов, признают в компании.

Материал дополнен редакцией
{ "author_name": "Дмитрий Зимин", "author_type": "self", "tags": ["\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","pickpoint"], "comments": 123, "likes": 58, "favorites": 11, "is_advertisement": false, "subsite_label": "trade", "id": 184130, "is_wide": true, "is_ugc": true, "date": "Fri, 04 Dec 2020 18:39:10 +0300", "is_special": false }
0
123 комментария
Популярные
По порядку
Написать комментарий...

Провели день открытых дверей

210

Шутки-шутками, а вот сделали ребята хороший сервис по доставке (кто будет отрицать, что такая доставка удобна), договаривались с магазинами, вкладывали средства в рекламу, а тут такая подстава от взломщиков.

Теперь надо учесть это и добавить дополнительную проверку, чтобы человек мог открыть ячейку только с терминала.

Плюс опять же история показывает, что делать из SMS-ок и мобильного телефона доступ (или авторизацию) нельзя. Лучше придумать собственное приложение мобильное с токенами. ред.

15

Ага, сделали ребята хороший сервис по доставке, договаривались с магазинами, вкладывали средства в рекламу, а вот на аудит по безопасности пожадничали. И кто тут дурак?

19

Аудит безопасности лишь звучит красиво, на практике это как попросить фитнес тренера разово сделать аудит вашей фигуры.
Ну скажут вам что все плохо а дальше что?

Даже если вам разово найдут и закроют все дыры в безопасности - тут же выяснится что пользователи перекидывают пароли открытым текстом через почту, например. Сильно тут какой-то разовый аудит поможет?

Безопасность это процесс а не опция.

20

Вечная дилемма с безопасностью, никто не хочет вкладывать бабки в то, что «не видно» пока это самое «видно» не случится и не накроет весь твой бизнес.

3

Кто знает. Теперь уже точно проведут. Сейчас интересно узнать вектор атаки, т.е. как технически происходил взлом.

1

Наверняка аудит по безопасности провели.

Но он защищает только от известных угроз.

А уязвимости появляются каждый день. Если бы хакеры действительно вели себя так, как нам показывают в фильмах, у нас бы не работало ничего — от светофоров до электростанций.

1

так хацкеры тоже не спят, и безопасники чаще играют на стороне догоняющих, а не опережающих. ведь ломать проще чем строить, так как когда строишь нужно думать о многих вещах сразу, а когда ломаешь только о том как сломать здесь и сейчас, увы. и сегодня уязвимости нет, завтра где-то в цепочке катнули дырявый софт, и она появилась. 🤷‍♂️

1

Токены это хорошо, но лично мне бы не хотелось ставить ещё одно приложение, которым буду пользоваться раз в месяц или ещё реже.
В этом плане доступ по смс, который не заставляет тебя ничего устанавливать, настраивать и дополнительно заходить в какое-то приложение, гораздо более клиентоориентирован.
Кроме того, очевидно, тут проблема не в формате авторизации.

9

Для этих целей хороши свежие appclips на iOS. Для андроида тебе, наверняка, есть/скоро сделают нечто похожее

0

PWA уже сто лет в обед :)

1

Вы святое с праведным то не путайте! Pwa не имеют доступа к api устройства больше, чем браузер. Плюс его тоже нужно добавить на устройство - а для одноразовой цели типа получить посылку в почтомате нужно некоторым образом особый подход

1

Там в любом случае будет механика как в приложении. Мой путь как пользователя не упрощается)
А как пользователь я не хочу заходить в какое-то приложение\сайт, куда-то там логиниться, ждать код.
Я хочу получить код по смс, когда придет товар, ввести этот код в терминал и забыть)

1

В идеале - вы подходите к почтомату, возникает интерфейс приложения - вы нажимаете кнопку и получаете посылку.

То есть, мини приложение доставляется вам примерно так же быстро, как смс, но интерфейс вы получаете удобнее: вместо запоминания кода и ввода его в почтомат - нажимаете кнопку «получить» и сразу открывается дверка

0

На Android года с 17 есть Instant Apps, но, как бы тут ни было, СМС остаются более привычным интерфейсом для OTP.

1

Возможно. За андроидом не слежу - не актуально.

Но более привычные способы - не всегда более удобные. Иначе мы бы с вами до сих пор по почте переписывались бы, да?

0

Лучше свой appclip

0

Это все затратно по времени да и средствам. А вообще об этом нужно было думать раньше.

0

Полиция также провела день открытых дел и день закрытых людей.

4

Повезло кому-то...

1
Преступный колос

Закон сообщающихся сосудов: кому-то повезло, а кому-то нет(

4

Ага, украл чей-то дешевый китайский мусор. Никому ведь не придет в голову что-то действительно ценное через эти постоматы заказывать-забирать.

–10

Недавно вернулся из пятерочки с новой RTX 3070 из постамата озона, захотелось выбрать такую доставку чисто во имя абсурдности идеи.

2

А мог бы и без нее вернуться!

6

Поясните пожалуйста, со своей RTX или удачно попали на день открытых дверей?

2

шутка хорошая, а ситуация обыденная, своя ртх и вообще из постамата озон (другая сеть)

1

Регулярно заказываю там ценное (китайское в пикпоинт раньше не возили)

1

Сочувствую

0

Я так понимаю он еще не закончился это день открытых дверей. Поломки еще есть.

1

Черная пятница. Распродажа началась.

36

Скорее Рождество - время подарков))

8

Распродажа административок и уголовок

3

Да.....
Распродажа...

1

Сегодня получал, хорошо всё работало.

1

А заказывал?))))
За скольких людей получил? ред.

90

Это промо киберпанк 2077

22

Неизвестные устроили кибератаку на провайдеров, обеспечивающих доступ в интернет для постаматов.

На провайдеров?))

16

Возможно они использовали ВПН от какого-то провайдера и на этой радостной ноте, решили что можно забить на безопасность запросов на открытие дверей. А когда ВПН хакнули, выяснилось, что единственное что у них в безопасности это дыра.

(это все мои личные предположения)

9

На бэкенд написанный на пхп)

–4

Комментарий удален по просьбе пользователя

17

Boxberry вот неротируемый токен передавал в get параметрах без шифрования(по http). В конце 2019 вроде бы пофиксили только. Получается, что кто угодно мог забрать токен, послушав весь трафик и творить что угодно от имени юрлица:)

Ну и в лк пускали ест-но тоже по одному токену, не спрашивая абсолютно ничего ред.

5

И главное приходишь в такие компании, говоришь, что у них пиздец, а они тебе "да нормально мы так сто лет работаем, кому это нужно"

2

Или они тебе говорят, что кое кто много п...т, быкуют и угрожают разорвать договор.

0

пхпшники все разобиделись 😁 

0

Постзапросом? 

0
Преступный колос

Хороший сервис, но, увы, факапы случаются у всех. Искренне сочувствую всем пострадавшим пользователям и работникам пикпойнта в том числе... Бля, ну это же пиздец какой аврал ребятам прилетел. Да ещё и в пятничку... ред.

17

Ну у технической поддержки обычно работа не делится на пятницу и остальное

0

Почему молчат юристы?
Забор коробки с товаром из соседней ячейки, которая открылась после хакерской атаки - является кражей чужого имущества по Уголовному кодексу РФ ?
Куда смотрит полиция? (с)

10

Полиция потом камеры посмотрит и палок нарубит под новый год - считай подарок.

14
Гуманитарный кавалер

Если будет обращение, то да близко к 158 ук рф. Но так как в "безымянных" ячейках постаматов много резиновых писек, не каждый решится открывать заяву

7

Это называется тогда: идеальное преступление.

3

Преступлением может быть и идеальное, Только зачем преступнику такое количество резиновых писек? 

1

А что подумал по этому поводу Кролик, никто так и не узнал, потому что Кролик был очень воспитанный (с) А. Милн.

2

как статистику по писькам померяли, в день открытых дверей?

0

Что ж Вам письки везде мерещатся?

0

Это не значит, что их там не было :)

0

пока товар в постамате, он принадлежит продавцу, так что заявление должны писать или китайцы или пикпоинт, как представитель, или страховая по регрессу после выплаты страховки отправления. покупатель тут ни каким боком.

0

Могло быть хуже. Дьявол во плоти мог поменять товары в ячейках местами.

1

Конечно, является.

1

Юристы на VC?

1

К счастью, не является 

–2

Вы юрист?
Можете предоставить пруфы ?

0

Прямой вопрос вам: можете предоставить иные факты?

1

Пожалуйста, вот иной факт: некое лицо, которое заведомо знает о том, что вещь в ящике ему не принадлежит, обращает её в свою пользу, причиняя тем самым материальный ущерб собственнику (непосредственно получателю или отправителю в зависимости от того, была ли предоплата). Это называется хищением (прим.1 ст.158 УК РФ). Поскольку хищение было совершено без нападения и неявно для пострадавшего, то такое хищение является тайным. Тайное хищение — это кража (ч.1 ст. 158 УК РФ).
И да, если банкомат ошибочно вместо 500 рублей выдаёт 5000 рублей, а получатель спокойно забирает и уходит, не сообщив банку, то это тоже кража.

7

Ну вот хоть кто-то что-то сказал со ссылкой на пруфы !
Дарья, благодарю вас за знание Уголовного Кодекса РФ ! 

0

 И да, если банкомат ошибочно вместо 500 рублей выдаёт 5000 рублей, а получатель спокойно забирает и уходит, не сообщив банку, то это тоже кража.

Хм, вообще-то нет. Обязанности клиентом сообщаться об этом банку не существует. Такие моменты урегулируются сотрудником банка с клиентом в гражданском поле в 99% случаев.

Вот если клиент понял, что вместо 4 тысяч рублей ему дали 20 тысяч и он вновь и вновь снимает, то тут с большой долей вероятности может быть преступление.

0

"Обязанности клиентом сообщаться об этом банку не существует. Такие моменты урегулируются сотрудником банка с клиентом в гражданском поле в 99% случаев"

Довольно странный аргумент. Обязательственное право — это часть гражданского права, которое не имеет отношение к наличию состава преступления. Хотя, если хотите пойти в гражданское право, то обязанность сообщить банку всё же есть — вследствие неосновательного обогащения и исходя из принципа добросовестности, известному гражданскому праву. 
Но вернёмся к уголовному праву. Опять же: человек, заведомо зная, что 4500 из полученных из банкомата 5000 ему не принадлежат, но умышленно обращает имущество банка в свою пользу. Это кража вне зависимости от того, как будет урегулирован вопрос — состав преступления от этого не испаряется. 

"Вот если клиент понял, что вместо 4 тысяч рублей ему дали 20 тысяч и он вновь и вновь снимает, то тут с большой долей вероятности может быть преступление"

Тут не с большой долей вероятности, а просто преступление. Удивительно, что есть сомнения.

0

 Хотя, если хотите пойти в гражданское право, то обязанность сообщить банку всё же есть — вследствие неосновательного обогащения и исходя из принципа добросовестности, известному гражданскому праву.

Дело в том, что сняв сумму, могу не посмотреть на неё и положить в кошелёк. Знаю ли я точно, что снял больше или меньше? Да, такие случаи у меня были. Решались полюбовно. Чужая ошибка не равна необоснованному обогащению, кроме случая, что привёл выше (эксплуатации этого момента и то сомнительно (см. ниже)).

 Это кража вне зависимости от того, как будет урегулирован вопрос — состав преступления от этого не испаряется.

Состав преступления не возникает, как бы вам не хотелось, так как нет субъективной вины и умысла.

 Тут не с большой долей вероятности, а просто преступление. Удивительно, что есть сомнения.

Почитайте про косвенный умысел и будет ли в данном случае преступление. 50х50. Хотя наше дознание сильно не парится. ред.

0

Я не юрист.
(мне мама в 1969 году говорила, что чужие вещи из шкафчика брать нельзя).
А вы считаете, что можно?

1

О, хорошо линзы успел забрать сегодня.

0

чтобы прочитать эту новость?

24

Чтобы что?

6

одень линзы, что

7

надень;)

4

Вставить тогда уж :)

1

Ну слава богу, мы за тебя очень переживали!

3

Не забрал посылку сегодня и чёт переживать начал.

3

Уже можно не переживать. 🤷‍♀️

13

Странно, что в этот же постомат отправили сегодня ещё одну посылку. Курьер получил её на складе. Значит есть шанс, что восстановят. Утром он был отключен.

0

использовали винду? ну что могу сказать..не используйте винду!! вот что хотите делайте.. но не используйте..

–21

А что не так с виндой? (тем более тут 7ка и тем более не XP)

10

Я серьезно, не ради срача спрашиваю.
Нормальный POS или подобное устройство можно собрать почти всегда только на винде. Спасибо вендорам оборудования.
Если чуть попроще – можно на андроиде, но почти всегда это будет винда.
Вот @Тинькофф отличные банкоматы сделали, когда не особо кто хотел свежую винду использовать ред.

7

Написано, хотели на линуксе, но не договорились с производителями. Да, остановились на windows.  ред.

2

Я поэтому как пример и скинул.
Там ещё важный момент ниже был

2

если быть честным все же их вина есть. встроенная система. иногда безальтернативно. все ошибки сбои показывает на экран, прерывая работу оборудования. сколько забавных экранов банкоматов было и терминалов где меняли обои например и сколько ошибок пользовательских они показывали на экран? ошибка настройки? возможно. из коробки эта система сделана для игр. тут замкнутое кольцо. покупает ее бизнес, так как нет альтернативы. могли бы покупать другое. договориться и не покупать от производителя решение на этой платформе. но обычно безальтернативно. ну вот в будущем и не только почтоматы будут открывать дверцы и приносить убытки. а еще и банкоматы начнут выплевывать деньги. раньше была например os/2. такого безобразия не было. что же с этим делать? договариваться с производителем и делать драйвера под другие системы. нет драйверов? не хотят? пусть производитель покрывает 200% убытков, вызванных кривыми системами. должна быть альтернатива. функции почтомата фактически выполнят вполне себе две малинки. основная и резервная. в случае сбоев обеих - блокировка и отключение. но не синий экран позора. нет драйверов? реверсить драйвера под винду и делать их под другие операционки. не хочет никто? все зажаты в тиски с вендором? выбирать альтернативного вендора. делать свое. договариваться об r&d в отрасли. тратиться на свои решения, немного делится прибылью и акциями компании с альтернативными разработчиками на открытом коде. делать хакатон например. но только чтобы не были решения исключительно на виндовс. она себя уже показала во всей красе. хватит.  ред.

1

сколько забавных экранов банкоматов было и терминалов где меняли обои например и сколько ошибок пользовательских они показывали на экран

А при чем тут операционка? На таких решениях нужно мониторить работу и ребутать девайс в автоматическом режиме. Да и в целом различные сценарии могут быть, в зависимости от требований самой компании.
А если компания кладет на доступность/безопасность или ещё что, то проблема не в винде явно.

выбирать альтернативного вендора. делать свое. договариваться об r&d в отрасли. тратиться на свои решения, немного делится прибылью и акциями компании с альтернативными разработчиками на открытом коде.

Это слишком наивно, многим дешевле покрыть убытки от нескольких инцидентов, чем годами вкладываться во что-то. Риски чаще всего страхуются.

делать хакатон например.

Ну да, одна из немногих частей решения проблемы

но только чтобы не были решения исключительно на виндовс. она себя уже показала во всей красе. хватит. 

Если оставляют открытые порты, ставят пароли 123456 и прочее — это винда плохая?) ред.

3

по поводу автоматического ребута.. вот он на скриншоте и случился .. запустился экран восстановления от операционнной системы.. зачем.. не настроили чтото? давно с виндовс не работал.. не могу догадываться..
спасибо за поддержку, вы правы. ред.

0

В целом не особо важно, что на экране ошибка.
Важнее то, что без звонка от клиента знают ли об этой ошибке или нет.
Правильный сценарий:
— попробовать решить проблему удаленно
— отправить специалиста в оффлайне, если не удалось решить проблему удаленно
А винда там или нет, в конечном счёте пользователь знать не будет, если проблема будет быстро устраняться.

1

некоторые видели сегодня что просто почтоматы были просто заклеены скотчем.. значит проблему почти решили, странно что не синей изолентой :D

0

вот пикпоинт починил часть постаматов.. и винда так не активированная.. не лицензионная )) 

0

не лицензионная )) 

Ну они нарушают лицензию, если используют в проде неактивированную, да.
Кст интересно, как у них вообще все организовано.
Им после такого ада нужно активно писать, как у них все устроено и что они делают для безопасности посылок и т.д, а они что-то тихие. ред.

1

Если код дырявый и написан криво - какая разница на какой ОС он запускается ред.

5

синий экран смерти операционки врядли прямо от качества кода..

0

Тут согласен, однако давненько я не видел синих экранов смерти от винды (я уже лет десять как виндовс-погромист)

5

Они кст ещё и других цветов бывают:D

0

Винда позволяет проводить атаки вне кода приложения 

1

Зависло наглухо. Даже выключение из розетки не помогло. Продолжали открываться двери и по многу раз. 

6

По всей стране? Надо прогуляться, проверить)) ред.

3

Что-то сдается, что эти "хакеры" работают в ИТ pickpoint и жестко обосрались в очередном накате обновления. Но чтобы не нести материальную ответственность за пропажи посылок выдумали историю про злой взлом. Но как всегда правда скучней выдумки. Стоит коллективный иск готовить при отказе компенсаций.

3

еще это могли быть конкуренты по рынку, у которых много ресурсов

0

Хм, а у них материальная ответственность какая? С ценностями они не работают по должностной инструкции.

0

Если ты или ИМ при передаче указал ценность посылки вот и их ответственность.

0

Нет. Не будет.

0

Почему? Сдэк например постоянно когда теряет платит то что в оценочной ценности. Проверено. 

0

Я, похоже, потерял суть. Я про IT, а не службу доставки. 

0

Ну а pickpoint это прежде всего служба доставки и выдачи. Пункт выдачи заказов, только вместо полок и тетки за компом, автоматический ящик. Именно поэтому и будет ответственность за посылки. А кто там виноват у них ИТ или уборщица тряпкой вытиравшая клавиатуры разрабов или еще кто это их проблемы внутренние. Они вот пытаются продавить тему со взломом и съехать с ответственности за утеряные посылки, скорее всего в соответствии с их оферитой и злонамеренными действиями третьих лиц повлекших ущерб для клиентов. В реале я предполагаю что это не более чем съезд и пиар акция для сокрытия своего собственного факапа. 

0

Писал им в поддержку про то, что есть кейсы взлома их ячеек, но им на безопасность в целом плевать - на одном таком даже видел следы установки накладного скиммера

2

Надо было написать что есть случаи взлома их ячеек, а не кейсы. Тебя просто не поняли.

1

Интересно как свою забрать, чтобы не осматривать все. Надо все ячейки закрыть и потом код ввести? Или там все зависло и только смотреть по коробкам ред.

2

Срочно требуется консультация Хакера из соседнего поста с геотегами! 

2

31 декабря такая акция прошла бы веселее, хотя может это разминка была перед банкоматами.

2

Это сбер убирает конкурентов 😂

0

СберЛогистика отправляет посылки, в том числе и через PickPoint

0

Интересная Распаковка получилась

0

Вообще-то они называются почтаматы.

0

Постамат это наверное из которого посылку почты забрать можно.

0

Если в наглую забирать при всех, то грабеж )
А так скорее всего мелкое хищение административка.

0

Походу не дождусь я своих витаминок...

0

Не перевели биточки

0

Самое стремное, что нашлись маргиналы, которые увидели не приколоченные вещи и пошли хватать не свое ред.

0
Читать все 123 комментария
Прокрастинация: Как перестать откладывать на потом и 4 способа которые мне помогли

Каждый раз, когда я начинаю думать о сложной или неприятной задаче, я чувствую внутреннее сопротивление. Например, когда нужно практиковать английский, писать сценарий или работать над сложным проектом.

«Типографика в будущем»: дизайнер описывает, как дизайн и шрифты показывают футуризм в научной фантастике Статьи редакции

Разбирает «Валли», «Бегущего по лезвию» и другие фильмы, показывает, как создать свой шрифт «из будущего».

«Российский рынок акций был и остаётся одним из самых привлекательных в мире»

Виталий Исаков, директор по инвестициям УК «Открытие» («Открытие Инвестиции»).

Как мы запустили MVP, получили первые продажи за 1,5 месяца и сэкономили 1 млн рублей

Рассказываем, как команда Minisol за 1,5 месяца помогла клиенту превратить идею в перспективный стартап и сколько стоил каждый этап.

Когда устал вечером в «Додо»

Заказал пиццу и залипаю на то, как ее готовят, и тут внезапно девушка начинает рисовать на раскатке и писать надписи, снова зашел через пару минут и тут:

Будущее наступит во вторник на OneRetailConf
«Делимобиль» заставил меня заплатить 20 тысяч рублей за чужие повреждения

Грустная и захватывающая история о том, как «Делимобиль» не захотел разбираться и вынудил меня оплатить повреждения автомобиля, которые были нанесены не мною, на сумму в 18.641 рубля + аренду автомобиля в режиме ожидания на сумму 2.224 рублей.

Объявлены победители Finlanding
Таргет как волшебная палочка

Восхваление возможностей таргета в Инстаграм приводит к тому, что многие владельцы бизнеса уверены в его абсолютной способности быстро приводить к ним новых клиентов.

«Spotify: История продукта». Как мы разработали алгоритмы музыкальных рекомендаций

Из онлайн-библиотеки — в сервис персонализированных рекомендаций.

Дефицит цифровых кадров в России и их подготовка

Весь мир переходит в цифровую среду. Пока в ежегодном глобальном рейтинге конкурентоспособности Россия занимает 43-е место, но задерживаться на нем не намерена. Для этого правительство запустило программу «Цифровая экономика РФ», которая будет поддерживать цифровую экономику в стране и подготовку необходимых кадров.