Постаматы PickPoint стали автоматически открывать дверцы в результате кибератаки Статьи редакции

Сбой обещают устранить до утра 5 декабря.

В работе сервиса постаматов PickPoint произошел сбой из-за кибератаки — постаматы стали открывать двери․ Запись об этом появилась в официальном сообществе «ВКонтакте» (уже удалена). В компании подтвердили vc.ru факт сбоев.

Сбой зафиксировали 4 декабря в 15:06 мск, добавили в компании. Неизвестные устроили кибератаку на провайдеров, обеспечивающих доступ в интернет для постаматов.

PickPoint создала «Штаб оперативного реагирования» и займется восстановлением системы в ближайшее время. «Дистанционно провести эту работу невозможно, необходим физический выезд на каждую точку, поэтому работы будут вестись всю ночь. Точки, которые не доступны в ночное время, будут восстановлены завтра с утра», — сообщили в компании.

Пока техническая поддержка советует выключить постамат из розетки и закрыть дверцы.

Добавлено 8 декабря: К 7 декабря PickPoint удалось восстановить работоспособность сети постаматов на 95%, сообщила компания. Хакерская атака на постаматную сеть затронула более 2,5 тысяч постаматов — в них было 49 тысяч заказов на 150 млн рублей. В итоге были утеряны до 1 тысяч заказов, признают в компании.

Материал дополнен редакцией
{ "author_name": "Дмитрий Зимин", "author_type": "self", "tags": ["\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","pickpoint"], "comments": 123, "likes": 58, "favorites": 13, "is_advertisement": false, "subsite_label": "trade", "id": 184130, "is_wide": false, "is_ugc": true, "date": "Fri, 04 Dec 2020 18:39:10 +0300", "is_special": false }
0
123 комментария
Популярные
По порядку
Написать комментарий...
210

Провели день открытых дверей

Ответить
14

Шутки-шутками, а вот сделали ребята хороший сервис по доставке (кто будет отрицать, что такая доставка удобна), договаривались с магазинами, вкладывали средства в рекламу, а тут такая подстава от взломщиков.

Теперь надо учесть это и добавить дополнительную проверку, чтобы человек мог открыть ячейку только с терминала.

Плюс опять же история показывает, что делать из SMS-ок и мобильного телефона доступ (или авторизацию) нельзя. Лучше придумать собственное приложение мобильное с токенами.

Ответить
19

Ага, сделали ребята хороший сервис по доставке, договаривались с магазинами, вкладывали средства в рекламу, а вот на аудит по безопасности пожадничали. И кто тут дурак?

Ответить
20

Аудит безопасности лишь звучит красиво, на практике это как попросить фитнес тренера разово сделать аудит вашей фигуры.
Ну скажут вам что все плохо а дальше что?

Даже если вам разово найдут и закроют все дыры в безопасности - тут же выяснится что пользователи перекидывают пароли открытым текстом через почту, например. Сильно тут какой-то разовый аудит поможет?

Безопасность это процесс а не опция.

Ответить
3

Вечная дилемма с безопасностью, никто не хочет вкладывать бабки в то, что «не видно» пока это самое «видно» не случится и не накроет весь твой бизнес.

Ответить
1

Кто знает. Теперь уже точно проведут. Сейчас интересно узнать вектор атаки, т.е. как технически происходил взлом.

Ответить
1

Наверняка аудит по безопасности провели.

Но он защищает только от известных угроз.

А уязвимости появляются каждый день. Если бы хакеры действительно вели себя так, как нам показывают в фильмах, у нас бы не работало ничего — от светофоров до электростанций.

Ответить
1

так хацкеры тоже не спят, и безопасники чаще играют на стороне догоняющих, а не опережающих. ведь ломать проще чем строить, так как когда строишь нужно думать о многих вещах сразу, а когда ломаешь только о том как сломать здесь и сейчас, увы. и сегодня уязвимости нет, завтра где-то в цепочке катнули дырявый софт, и она появилась. 🤷‍♂️

Ответить
9

Токены это хорошо, но лично мне бы не хотелось ставить ещё одно приложение, которым буду пользоваться раз в месяц или ещё реже.
В этом плане доступ по смс, который не заставляет тебя ничего устанавливать, настраивать и дополнительно заходить в какое-то приложение, гораздо более клиентоориентирован.
Кроме того, очевидно, тут проблема не в формате авторизации.

Ответить
0

Для этих целей хороши свежие appclips на iOS. Для андроида тебе, наверняка, есть/скоро сделают нечто похожее

Ответить
1

PWA уже сто лет в обед :)

Ответить
1

Вы святое с праведным то не путайте! Pwa не имеют доступа к api устройства больше, чем браузер. Плюс его тоже нужно добавить на устройство - а для одноразовой цели типа получить посылку в почтомате нужно некоторым образом особый подход

Ответить
1

Там в любом случае будет механика как в приложении. Мой путь как пользователя не упрощается)
А как пользователь я не хочу заходить в какое-то приложение\сайт, куда-то там логиниться, ждать код.
Я хочу получить код по смс, когда придет товар, ввести этот код в терминал и забыть)

Ответить
0

В идеале - вы подходите к почтомату, возникает интерфейс приложения - вы нажимаете кнопку и получаете посылку.

То есть, мини приложение доставляется вам примерно так же быстро, как смс, но интерфейс вы получаете удобнее: вместо запоминания кода и ввода его в почтомат - нажимаете кнопку «получить» и сразу открывается дверка

Ответить
1

На Android года с 17 есть Instant Apps, но, как бы тут ни было, СМС остаются более привычным интерфейсом для OTP.

Ответить
0

Возможно. За андроидом не слежу - не актуально.

Но более привычные способы - не всегда более удобные. Иначе мы бы с вами до сих пор по почте переписывались бы, да?

Ответить
0

Лучше свой appclip

Ответить
0

Это все затратно по времени да и средствам. А вообще об этом нужно было думать раньше.

Ответить
4

Полиция также провела день открытых дел и день закрытых людей.

Ответить
1

Повезло кому-то...

Ответить

Инвестиционный холод

Елизавета
4

Закон сообщающихся сосудов: кому-то повезло, а кому-то нет(

Ответить
–10

Ага, украл чей-то дешевый китайский мусор. Никому ведь не придет в голову что-то действительно ценное через эти постоматы заказывать-забирать.

Ответить
2

Недавно вернулся из пятерочки с новой RTX 3070 из постамата озона, захотелось выбрать такую доставку чисто во имя абсурдности идеи.

Ответить
6

А мог бы и без нее вернуться!

Ответить
2

Поясните пожалуйста, со своей RTX или удачно попали на день открытых дверей?

Ответить
1

шутка хорошая, а ситуация обыденная, своя ртх и вообще из постамата озон (другая сеть)

Ответить
1

Регулярно заказываю там ценное (китайское в пикпоинт раньше не возили)

Ответить
0

Сочувствую

Ответить
1

Я так понимаю он еще не закончился это день открытых дверей. Поломки еще есть.

Ответить
36

Черная пятница. Распродажа началась.

Ответить
8

Скорее Рождество - время подарков))

Ответить
3

Распродажа административок и уголовок

Ответить
1

Да.....
Распродажа...

Ответить
1

Сегодня получал, хорошо всё работало.

Ответить
90

А заказывал?))))
За скольких людей получил?

Ответить
22

Это промо киберпанк 2077

Ответить
16

Неизвестные устроили кибератаку на провайдеров, обеспечивающих доступ в интернет для постаматов.

На провайдеров?))

Ответить
9

Возможно они использовали ВПН от какого-то провайдера и на этой радостной ноте, решили что можно забить на безопасность запросов на открытие дверей. А когда ВПН хакнули, выяснилось, что единственное что у них в безопасности это дыра.

(это все мои личные предположения)

Ответить
–4

На бэкенд написанный на пхп)

Ответить
17

Язык не важен, когда в компании на it давно забили

Ответить
5

Boxberry вот неротируемый токен передавал в get параметрах без шифрования(по http). В конце 2019 вроде бы пофиксили только. Получается, что кто угодно мог забрать токен, послушав весь трафик и творить что угодно от имени юрлица:)

Ну и в лк пускали ест-но тоже по одному токену, не спрашивая абсолютно ничего

Ответить
2

И главное приходишь в такие компании, говоришь, что у них пиздец, а они тебе "да нормально мы так сто лет работаем, кому это нужно"

Ответить
0

Или они тебе говорят, что кое кто много п...т, быкуют и угрожают разорвать договор.

Ответить
0

пхпшники все разобиделись 😁 

Ответить
0

Постзапросом? 

Ответить

Инвестиционный холод

17

Хороший сервис, но, увы, факапы случаются у всех. Искренне сочувствую всем пострадавшим пользователям и работникам пикпойнта в том числе... Бля, ну это же пиздец какой аврал ребятам прилетел. Да ещё и в пятничку...

Ответить
0

Ну у технической поддержки обычно работа не делится на пятницу и остальное

Ответить
10

Почему молчат юристы?
Забор коробки с товаром из соседней ячейки, которая открылась после хакерской атаки - является кражей чужого имущества по Уголовному кодексу РФ ?
Куда смотрит полиция? (с)

Ответить
14

Полиция потом камеры посмотрит и палок нарубит под новый год - считай подарок.

Ответить
7

Если будет обращение, то да близко к 158 ук рф. Но так как в "безымянных" ячейках постаматов много резиновых писек, не каждый решится открывать заяву

Ответить
3

Это называется тогда: идеальное преступление.

Ответить
1

Преступлением может быть и идеальное, Только зачем преступнику такое количество резиновых писек? 

Ответить
2

А что подумал по этому поводу Кролик, никто так и не узнал, потому что Кролик был очень воспитанный (с) А. Милн.

Ответить
0

как статистику по писькам померяли, в день открытых дверей?

Ответить
0

Что ж Вам письки везде мерещатся?

Ответить
0

Это не значит, что их там не было :)

Ответить
0

пока товар в постамате, он принадлежит продавцу, так что заявление должны писать или китайцы или пикпоинт, как представитель, или страховая по регрессу после выплаты страховки отправления. покупатель тут ни каким боком.

Ответить
1

Могло быть хуже. Дьявол во плоти мог поменять товары в ячейках местами.

Ответить
1

Конечно, является.

Ответить
1

Юристы на VC?

Ответить
–2

К счастью, не является 

Ответить
0

Вы юрист?
Можете предоставить пруфы ?

Ответить
1

Прямой вопрос вам: можете предоставить иные факты?

Ответить
7

Пожалуйста, вот иной факт: некое лицо, которое заведомо знает о том, что вещь в ящике ему не принадлежит, обращает её в свою пользу, причиняя тем самым материальный ущерб собственнику (непосредственно получателю или отправителю в зависимости от того, была ли предоплата). Это называется хищением (прим.1 ст.158 УК РФ). Поскольку хищение было совершено без нападения и неявно для пострадавшего, то такое хищение является тайным. Тайное хищение — это кража (ч.1 ст. 158 УК РФ).
И да, если банкомат ошибочно вместо 500 рублей выдаёт 5000 рублей, а получатель спокойно забирает и уходит, не сообщив банку, то это тоже кража.

Ответить
0

Ну вот хоть кто-то что-то сказал со ссылкой на пруфы !
Дарья, благодарю вас за знание Уголовного Кодекса РФ ! 

Ответить
0

 И да, если банкомат ошибочно вместо 500 рублей выдаёт 5000 рублей, а получатель спокойно забирает и уходит, не сообщив банку, то это тоже кража.

Хм, вообще-то нет. Обязанности клиентом сообщаться об этом банку не существует. Такие моменты урегулируются сотрудником банка с клиентом в гражданском поле в 99% случаев.

Вот если клиент понял, что вместо 4 тысяч рублей ему дали 20 тысяч и он вновь и вновь снимает, то тут с большой долей вероятности может быть преступление.

Ответить
0

"Обязанности клиентом сообщаться об этом банку не существует. Такие моменты урегулируются сотрудником банка с клиентом в гражданском поле в 99% случаев"

Довольно странный аргумент. Обязательственное право — это часть гражданского права, которое не имеет отношение к наличию состава преступления. Хотя, если хотите пойти в гражданское право, то обязанность сообщить банку всё же есть — вследствие неосновательного обогащения и исходя из принципа добросовестности, известному гражданскому праву. 
Но вернёмся к уголовному праву. Опять же: человек, заведомо зная, что 4500 из полученных из банкомата 5000 ему не принадлежат, но умышленно обращает имущество банка в свою пользу. Это кража вне зависимости от того, как будет урегулирован вопрос — состав преступления от этого не испаряется. 

"Вот если клиент понял, что вместо 4 тысяч рублей ему дали 20 тысяч и он вновь и вновь снимает, то тут с большой долей вероятности может быть преступление"

Тут не с большой долей вероятности, а просто преступление. Удивительно, что есть сомнения.

Ответить
0

 Хотя, если хотите пойти в гражданское право, то обязанность сообщить банку всё же есть — вследствие неосновательного обогащения и исходя из принципа добросовестности, известному гражданскому праву.

Дело в том, что сняв сумму, могу не посмотреть на неё и положить в кошелёк. Знаю ли я точно, что снял больше или меньше? Да, такие случаи у меня были. Решались полюбовно. Чужая ошибка не равна необоснованному обогащению, кроме случая, что привёл выше (эксплуатации этого момента и то сомнительно (см. ниже)).

 Это кража вне зависимости от того, как будет урегулирован вопрос — состав преступления от этого не испаряется.

Состав преступления не возникает, как бы вам не хотелось, так как нет субъективной вины и умысла.

 Тут не с большой долей вероятности, а просто преступление. Удивительно, что есть сомнения.

Почитайте про косвенный умысел и будет ли в данном случае преступление. 50х50. Хотя наше дознание сильно не парится.

Ответить
1

Я не юрист.
(мне мама в 1969 году говорила, что чужие вещи из шкафчика брать нельзя).
А вы считаете, что можно?

Ответить
0

О, хорошо линзы успел забрать сегодня.

Ответить
24

чтобы прочитать эту новость?

Ответить
6

Чтобы что?

Ответить
7

одень линзы, что

Ответить
4

надень;)

Ответить
1

Вставить тогда уж :)

Ответить
3

Ну слава богу, мы за тебя очень переживали!

Ответить
3

Не забрал посылку сегодня и чёт переживать начал.

Ответить
13

Уже можно не переживать. 🤷‍♀️

Ответить
0

Странно, что в этот же постомат отправили сегодня ещё одну посылку. Курьер получил её на складе. Значит есть шанс, что восстановят. Утром он был отключен.

Ответить
–21

использовали винду? ну что могу сказать..не используйте винду!! вот что хотите делайте.. но не используйте..

Ответить
10

А что не так с виндой? (тем более тут 7ка и тем более не XP)

Ответить
7

Я серьезно, не ради срача спрашиваю.
Нормальный POS или подобное устройство можно собрать почти всегда только на винде. Спасибо вендорам оборудования.
Если чуть попроще – можно на андроиде, но почти всегда это будет винда.
Вот @Тинькофф отличные банкоматы сделали, когда не особо кто хотел свежую винду использовать

Ответить
2

Написано, хотели на линуксе, но не договорились с производителями. Да, остановились на windows. 

Ответить
2

Я поэтому как пример и скинул.
Там ещё важный момент ниже был

Ответить
1

если быть честным все же их вина есть. встроенная система. иногда безальтернативно. все ошибки сбои показывает на экран, прерывая работу оборудования. сколько забавных экранов банкоматов было и терминалов где меняли обои например и сколько ошибок пользовательских они показывали на экран? ошибка настройки? возможно. из коробки эта система сделана для игр. тут замкнутое кольцо. покупает ее бизнес, так как нет альтернативы. могли бы покупать другое. договориться и не покупать от производителя решение на этой платформе. но обычно безальтернативно. ну вот в будущем и не только почтоматы будут открывать дверцы и приносить убытки. а еще и банкоматы начнут выплевывать деньги. раньше была например os/2. такого безобразия не было. что же с этим делать? договариваться с производителем и делать драйвера под другие системы. нет драйверов? не хотят? пусть производитель покрывает 200% убытков, вызванных кривыми системами. должна быть альтернатива. функции почтомата фактически выполнят вполне себе две малинки. основная и резервная. в случае сбоев обеих - блокировка и отключение. но не синий экран позора. нет драйверов? реверсить драйвера под винду и делать их под другие операционки. не хочет никто? все зажаты в тиски с вендором? выбирать альтернативного вендора. делать свое. договариваться об r&d в отрасли. тратиться на свои решения, немного делится прибылью и акциями компании с альтернативными разработчиками на открытом коде. делать хакатон например. но только чтобы не были решения исключительно на виндовс. она себя уже показала во всей красе. хватит. 

Ответить
3

сколько забавных экранов банкоматов было и терминалов где меняли обои например и сколько ошибок пользовательских они показывали на экран

А при чем тут операционка? На таких решениях нужно мониторить работу и ребутать девайс в автоматическом режиме. Да и в целом различные сценарии могут быть, в зависимости от требований самой компании.
А если компания кладет на доступность/безопасность или ещё что, то проблема не в винде явно.

выбирать альтернативного вендора. делать свое. договариваться об r&d в отрасли. тратиться на свои решения, немного делится прибылью и акциями компании с альтернативными разработчиками на открытом коде.

Это слишком наивно, многим дешевле покрыть убытки от нескольких инцидентов, чем годами вкладываться во что-то. Риски чаще всего страхуются.

делать хакатон например.

Ну да, одна из немногих частей решения проблемы

но только чтобы не были решения исключительно на виндовс. она себя уже показала во всей красе. хватит. 

Если оставляют открытые порты, ставят пароли 123456 и прочее — это винда плохая?)

Ответить
0

по поводу автоматического ребута.. вот он на скриншоте и случился .. запустился экран восстановления от операционнной системы.. зачем.. не настроили чтото? давно с виндовс не работал.. не могу догадываться..
спасибо за поддержку, вы правы.

Ответить
1

В целом не особо важно, что на экране ошибка.
Важнее то, что без звонка от клиента знают ли об этой ошибке или нет.
Правильный сценарий:
— попробовать решить проблему удаленно
— отправить специалиста в оффлайне, если не удалось решить проблему удаленно
А винда там или нет, в конечном счёте пользователь знать не будет, если проблема будет быстро устраняться.

Ответить
0

некоторые видели сегодня что просто почтоматы были просто заклеены скотчем.. значит проблему почти решили, странно что не синей изолентой :D

Ответить
0

вот пикпоинт починил часть постаматов.. и винда так не активированная.. не лицензионная )) 

Ответить
1

не лицензионная )) 

Ну они нарушают лицензию, если используют в проде неактивированную, да.
Кст интересно, как у них вообще все организовано.
Им после такого ада нужно активно писать, как у них все устроено и что они делают для безопасности посылок и т.д, а они что-то тихие.

Ответить
5

Если код дырявый и написан криво - какая разница на какой ОС он запускается

Ответить
0

синий экран смерти операционки врядли прямо от качества кода..

Ответить
5

Тут согласен, однако давненько я не видел синих экранов смерти от винды (я уже лет десять как виндовс-погромист)

Ответить
0

Они кст ещё и других цветов бывают:D

Ответить
1

Винда позволяет проводить атаки вне кода приложения 

Ответить
6

Зависло наглухо. Даже выключение из розетки не помогло. Продолжали открываться двери и по многу раз. 

Ответить
3

По всей стране? Надо прогуляться, проверить))

Ответить
3

Что-то сдается, что эти "хакеры" работают в ИТ pickpoint и жестко обосрались в очередном накате обновления. Но чтобы не нести материальную ответственность за пропажи посылок выдумали историю про злой взлом. Но как всегда правда скучней выдумки. Стоит коллективный иск готовить при отказе компенсаций.

Ответить
0

еще это могли быть конкуренты по рынку, у которых много ресурсов

Ответить
0

Хм, а у них материальная ответственность какая? С ценностями они не работают по должностной инструкции.

Ответить
0

Если ты или ИМ при передаче указал ценность посылки вот и их ответственность.

Ответить
0

Нет. Не будет.

Ответить
0

Почему? Сдэк например постоянно когда теряет платит то что в оценочной ценности. Проверено. 

Ответить
0

Я, похоже, потерял суть. Я про IT, а не службу доставки. 

Ответить
0

Ну а pickpoint это прежде всего служба доставки и выдачи. Пункт выдачи заказов, только вместо полок и тетки за компом, автоматический ящик. Именно поэтому и будет ответственность за посылки. А кто там виноват у них ИТ или уборщица тряпкой вытиравшая клавиатуры разрабов или еще кто это их проблемы внутренние. Они вот пытаются продавить тему со взломом и съехать с ответственности за утеряные посылки, скорее всего в соответствии с их оферитой и злонамеренными действиями третьих лиц повлекших ущерб для клиентов. В реале я предполагаю что это не более чем съезд и пиар акция для сокрытия своего собственного факапа. 

Ответить
2

Писал им в поддержку про то, что есть кейсы взлома их ячеек, но им на безопасность в целом плевать - на одном таком даже видел следы установки накладного скиммера

Ответить
1

Надо было написать что есть случаи взлома их ячеек, а не кейсы. Тебя просто не поняли.

Ответить
2

Интересно как свою забрать, чтобы не осматривать все. Надо все ячейки закрыть и потом код ввести? Или там все зависло и только смотреть по коробкам

Ответить
2

Срочно требуется консультация Хакера из соседнего поста с геотегами! 

Ответить
2

31 декабря такая акция прошла бы веселее, хотя может это разминка была перед банкоматами.

Ответить
0

Это сбер убирает конкурентов 😂

Ответить
0

СберЛогистика отправляет посылки, в том числе и через PickPoint

Ответить
0

Интересная Распаковка получилась

Ответить
0

Вообще-то они называются почтаматы.

Ответить
0

Постамат это наверное из которого посылку почты забрать можно.

Ответить
0

Если в наглую забирать при всех, то грабеж )
А так скорее всего мелкое хищение административка.

Ответить
0

Походу не дождусь я своих витаминок...

Ответить
0

Не перевели биточки

Ответить
0

Самое стремное, что нашлись маргиналы, которые увидели не приколоченные вещи и пошли хватать не свое

Ответить

Комментарии

null