Постаматы PickPoint стали автоматически открывать дверцы в результате кибератаки Статьи редакции
Сбой обещают устранить до утра 5 декабря.
В работе сервиса постаматов PickPoint произошел сбой из-за кибератаки — постаматы стали открывать двери․ Запись об этом появилась в официальном сообществе «ВКонтакте» (уже удалена). В компании подтвердили vc.ru факт сбоев.
Сбой зафиксировали 4 декабря в 15:06 мск, добавили в компании. Неизвестные устроили кибератаку на провайдеров, обеспечивающих доступ в интернет для постаматов.
PickPoint создала «Штаб оперативного реагирования» и займется восстановлением системы в ближайшее время. «Дистанционно провести эту работу невозможно, необходим физический выезд на каждую точку, поэтому работы будут вестись всю ночь. Точки, которые не доступны в ночное время, будут восстановлены завтра с утра», — сообщили в компании.
Пока техническая поддержка советует выключить постамат из розетки и закрыть дверцы.
Добавлено 8 декабря: К 7 декабря PickPoint удалось восстановить работоспособность сети постаматов на 95%, сообщила компания. Хакерская атака на постаматную сеть затронула более 2,5 тысяч постаматов — в них было 49 тысяч заказов на 150 млн рублей. В итоге были утеряны до 1 тысяч заказов, признают в компании.
Провели день открытых дверей
Шутки-шутками, а вот сделали ребята хороший сервис по доставке (кто будет отрицать, что такая доставка удобна), договаривались с магазинами, вкладывали средства в рекламу, а тут такая подстава от взломщиков.
Теперь надо учесть это и добавить дополнительную проверку, чтобы человек мог открыть ячейку только с терминала.
Плюс опять же история показывает, что делать из SMS-ок и мобильного телефона доступ (или авторизацию) нельзя. Лучше придумать собственное приложение мобильное с токенами.
Ага, сделали ребята хороший сервис по доставке, договаривались с магазинами, вкладывали средства в рекламу, а вот на аудит по безопасности пожадничали. И кто тут дурак?
Аудит безопасности лишь звучит красиво, на практике это как попросить фитнес тренера разово сделать аудит вашей фигуры.
Ну скажут вам что все плохо а дальше что?
Даже если вам разово найдут и закроют все дыры в безопасности - тут же выяснится что пользователи перекидывают пароли открытым текстом через почту, например. Сильно тут какой-то разовый аудит поможет?
Безопасность это процесс а не опция.
Вечная дилемма с безопасностью, никто не хочет вкладывать бабки в то, что «не видно» пока это самое «видно» не случится и не накроет весь твой бизнес.
Кто знает. Теперь уже точно проведут. Сейчас интересно узнать вектор атаки, т.е. как технически происходил взлом.
Наверняка аудит по безопасности провели.
Но он защищает только от известных угроз.
А уязвимости появляются каждый день. Если бы хакеры действительно вели себя так, как нам показывают в фильмах, у нас бы не работало ничего — от светофоров до электростанций.
так хацкеры тоже не спят, и безопасники чаще играют на стороне догоняющих, а не опережающих. ведь ломать проще чем строить, так как когда строишь нужно думать о многих вещах сразу, а когда ломаешь только о том как сломать здесь и сейчас, увы. и сегодня уязвимости нет, завтра где-то в цепочке катнули дырявый софт, и она появилась. 🤷♂️
Токены это хорошо, но лично мне бы не хотелось ставить ещё одно приложение, которым буду пользоваться раз в месяц или ещё реже.
В этом плане доступ по смс, который не заставляет тебя ничего устанавливать, настраивать и дополнительно заходить в какое-то приложение, гораздо более клиентоориентирован.
Кроме того, очевидно, тут проблема не в формате авторизации.
Для этих целей хороши свежие appclips на iOS. Для андроида тебе, наверняка, есть/скоро сделают нечто похожее
На Android года с 17 есть Instant Apps, но, как бы тут ни было, СМС остаются более привычным интерфейсом для OTP.
Возможно. За андроидом не слежу - не актуально.
Но более привычные способы - не всегда более удобные. Иначе мы бы с вами до сих пор по почте переписывались бы, да?
PWA уже сто лет в обед :)
Вы святое с праведным то не путайте! Pwa не имеют доступа к api устройства больше, чем браузер. Плюс его тоже нужно добавить на устройство - а для одноразовой цели типа получить посылку в почтомате нужно некоторым образом особый подход
Там в любом случае будет механика как в приложении. Мой путь как пользователя не упрощается)
А как пользователь я не хочу заходить в какое-то приложение\сайт, куда-то там логиниться, ждать код.
Я хочу получить код по смс, когда придет товар, ввести этот код в терминал и забыть)
В идеале - вы подходите к почтомату, возникает интерфейс приложения - вы нажимаете кнопку и получаете посылку.
То есть, мини приложение доставляется вам примерно так же быстро, как смс, но интерфейс вы получаете удобнее: вместо запоминания кода и ввода его в почтомат - нажимаете кнопку «получить» и сразу открывается дверка
Лучше свой appclip
Это все затратно по времени да и средствам. А вообще об этом нужно было думать раньше.