Дыра в безопасности Ozon
Разбил свой телефон. Взял подменный, начал восстанавливать авторизации в приложениях, Ozon очень подвёл:
Приходит СМС, подтверждаю. Потом отправляют сообщение с кодом на почту, ничего нет.
Пишу в техподдержку, ответ удивил:
Спасибо за ожидание, Александр. Проверила информацию по вашему вопросу.
Вижу, в привязанном почтовом адресе опечатка, поэтому подтверждение отправляется на неверную почту. В целях безопасности аккаунта, мы не имеем права раскрывать регистрационные данные даже владельцам. В это ограничение входит и уточнение опечаток. Предлагаю 3 варианта решения:
1. Воспользуйтесь кнопкой "Восстановить доступ" при входе. Скриншот прилагаю. Эта функция находится в стадии тестирования, поэтому кнопка может не появиться.
2. Попробуйте создать адрес с опечаткой и войти в профиль с её помощью. К сожалению, по причине выше действовать действительно придётся наугад.
3. Создайте новый аккаунт с актуальными данными. Если у вас есть заказы на товары с гарантией и их необходимо будет вернуть по гарантийному случаю - обязательно поможем. Отвязать номер телефона от профиля можно, отозвав согласие на обработку персональных данных.
Такие себе решения, ибо:
1. При входе кнопки "восстановить доступ" просто нет.
2. Очень сомнительное предложение.
3. Отлично, и все мои данные с историей покупок будут утеряны. Но это мелочи по сравнению с тем, что теперь получается если есть уже аккаунт в системе с привязанным номером телефона. Никого и ничего не останавливает на этот номер создать новый аккаунт... КАК ТАК -ТО!?!!!! Проверил, получилось... ничего не отзывал как указано в письме...
При регистрации старого аккаунта была допущена опечатка в почте. Что максимально странно! Ведь получается если я ввёл неверную почту, то и подтвердить бы я её не смог... Но почта в аккаунте привязалась. КАК ТАК -ТО!?!!!! И теперь OZON шлёт коды авторизации на не авторизированную мной почту.
То есть каждый покупатель под угрозой потери своего аккаунта, ведь потенциально злоумышленник получив хотя бы раз доступ в аккаунт, например, через cookie беспрепятственно и без ведома пользователя может привязать аккаунт к своей почте. Или просто навредить затерев старый аккаунт человека, заново зарегистрировав аккаунт на уже имеющийся в системе номер телефона без каких либо дополнительных действий. Такое ощущение, что база старых аккаунтов не связана с базой OZON ID.
Зарегистрировался заново, опять же повторюсь, без каких-либо возражений со стороны OZONа, что такой аккаунт уже есть. Информацию и персональные данные они проверить не могут, пришлите скан, скан сайт принимает только в PDF, НУ КАК ТАК-ТО?!!!! Фото профиля установить вышло с третьего раза по причине непонятных ошибок.
Очень жаль, что некогда приятный и удобный сервис, превратился дырявый и глюковатый. Будьте осторожней при взаимодействии с сервисами OZON.
Здравствуйте. Действительно, изменения в регистрационных данных аккаунта может делать только владелец https://docs.ozon.ru/common/my-settings/my-account/, через нашу поддержку это запрещено. А можно узнать вашу почту, в которой опечатка, всё найдём и проверим. Странно, что получилось создать новый акк на уже использованный номер. Вы уверенны, что всё было успешно?
На 146%! Могу в личку скинуть скриншот с нового личного кабинета зарегистрированного на номер телефона старого.
Отличный ответ: "А у вас правда получилось?"