Дыра в безопасности Ozon

Разбил свой телефон. Взял подменный, начал восстанавливать авторизации в приложениях, Ozon очень подвёл:

Приходит СМС, подтверждаю. Потом отправляют сообщение с кодом на почту, ничего нет.

Пишу в техподдержку, ответ удивил:

Спасибо за ожидание, Александр. Проверила информацию по вашему вопросу.
Вижу, в привязанном почтовом адресе опечатка, поэтому подтверждение отправляется на неверную почту. В целях безопасности аккаунта, мы не имеем права раскрывать регистрационные данные даже владельцам. В это ограничение входит и уточнение опечаток. Предлагаю 3 варианта решения:
1. Воспользуйтесь кнопкой "Восстановить доступ" при входе. Скриншот прилагаю. Эта функция находится в стадии тестирования, поэтому кнопка может не появиться.
2. Попробуйте создать адрес с опечаткой и войти в профиль с её помощью. К сожалению, по причине выше действовать действительно придётся наугад.
3. Создайте новый аккаунт с актуальными данными. Если у вас есть заказы на товары с гарантией и их необходимо будет вернуть по гарантийному случаю - обязательно поможем. Отвязать номер телефона от профиля можно, отозвав согласие на обработку персональных данных.

Такие себе решения, ибо:

1. При входе кнопки "восстановить доступ" просто нет.

2. Очень сомнительное предложение.

3. Отлично, и все мои данные с историей покупок будут утеряны. Но это мелочи по сравнению с тем, что теперь получается если есть уже аккаунт в системе с привязанным номером телефона. Никого и ничего не останавливает на этот номер создать новый аккаунт... КАК ТАК -ТО!?!!!! Проверил, получилось... ничего не отзывал как указано в письме...

При регистрации старого аккаунта была допущена опечатка в почте. Что максимально странно! Ведь получается если я ввёл неверную почту, то и подтвердить бы я её не смог... Но почта в аккаунте привязалась. КАК ТАК -ТО!?!!!! И теперь OZON шлёт коды авторизации на не авторизированную мной почту.

То есть каждый покупатель под угрозой потери своего аккаунта, ведь потенциально злоумышленник получив хотя бы раз доступ в аккаунт, например, через cookie беспрепятственно и без ведома пользователя может привязать аккаунт к своей почте. Или просто навредить затерев старый аккаунт человека, заново зарегистрировав аккаунт на уже имеющийся в системе номер телефона без каких либо дополнительных действий. Такое ощущение, что база старых аккаунтов не связана с базой OZON ID.

Зарегистрировался заново, опять же повторюсь, без каких-либо возражений со стороны OZONа, что такой аккаунт уже есть. Информацию и персональные данные они проверить не могут, пришлите скан, скан сайт принимает только в PDF, НУ КАК ТАК-ТО?!!!! Фото профиля установить вышло с третьего раза по причине непонятных ошибок.

Очень жаль, что некогда приятный и удобный сервис, превратился дырявый и глюковатый. Будьте осторожней при взаимодействии с сервисами OZON.

2
3 комментария

Здравствуйте. Действительно, изменения в регистрационных данных аккаунта может делать только владелец https://docs.ozon.ru/common/my-settings/my-account/, через нашу поддержку это запрещено. А можно узнать вашу почту, в которой опечатка, всё найдём и проверим. Странно, что получилось создать новый акк на уже использованный номер. Вы уверенны, что всё было успешно?

Ответить

На 146%! Могу в личку скинуть скриншот с нового личного кабинета зарегистрированного на номер телефона старого.

Ответить

Отличный ответ: "А у вас правда получилось?"

Ответить