У клиента «ВкусВилл» из Подмосковья в приложении появилась чужая банковская карта
Об этом она рассказала Business FM. В службе поддержки магазина проблему решали весь вечер. Специалисты говорят, что это был единичный случай. Может ли такое повториться?
Читать на полной версииОбновлено в 19:47
В приложении одного из клиентов «ВкусВилл» оказалась чужая банковская карта, с помощью которой можно было оплачивать покупки.
У Анастасии из Подмосковья перестали оформляться заказы в приложении магазина, в службе поддержки ей сказали, что создадут новую карту лояльности и перенесут на нее все старые данные. Когда Анастасия зашла в приложение снова после всех манипуляций, то обнаружила, что старые данные действительно перенеслись, но чужие.
«Оказался чужой адрес доставки, чужая корзина, чужая история покупок, чеки. Но самое главное — была привязана чужая банковская карта, то есть я могла оплачивать покупки чужой карточкой, потому что при заказе в приложении подтверждение для покупки банковской картой не требуется. Я представила, что мои карты, которые привязаны к моему аккаунту, тоже могли оказаться у совершенно постороннего человека. Я перевела с них все деньги, позвонила в службу поддержки, там они чуть ли не весь вечер разбирались с ситуацией, потом сказали, что произошло наслоение карт, и создали мне новую карту лояльности. Никаких бонусов мне за неудобство не предложили. Пока свои банковские карты я решила не блокировать, а так же как и раньше, просто держать на них небольшие суммы денег для текущих трат. Просто раньше я как-то не особо серьезно относилась к угрозам утечек, а сейчас сказать, что я была в шоке, — это ничего не сказать».
Скорее всего, этот сбой — единичный случай, объясняет управляющий RTM Group, эксперт в области информационной безопасности и права в ИТ Евгений Царев:
— Когда заявка попадает в техподдержку, специалисты на другой стороне начинают производить определенные манипуляции, и они сделали, условно говоря, не то. Они не карту лояльности новую привязали, а привязали другой профиль. А мобильные приложения — это же достаточно простая история. Заранее подготовленные шаблоны, где должны быть картинки, поля и так далее. А вот данные, которые получает это приложение от архитектуры сервера, уже могут быть любые. И вот то, что сервер отдаст, зависит от основного идентификатора. Номером идентификатора в мобильных приложениях почти везде сегодня является номер мобильного телефона. Был смешан профиль, то есть к этому номеру мобильного телефона был привязан другой профиль, именно поэтому в приложении появляются данные другого человека. Это ошибка, я думаю, где-то на уровне технической поддержки.
— Как вы думаете, это единичный сбой?
— Скорее всего, это единичный случай, но нужно внутри разобраться, как это произошло. Потому что в теории даже у службы техподдержки не должно быть такой возможности. Может быть, кодится все то, но права у администраторов, которые в техподдержке сидят, слишком большие. Потому что, даже когда вы обратитесь в техподдержку какого-нибудь условного Google, у вас вряд ли такое произойдет, потому что у специалиста техподдержки просто нет таких прав, он не может привязать один профиль к другому. А здесь это произошло, это проблема, и ее нужно решать.
Во «ВкусВилл» Business FM сообщили, что произошедшее — единичный случай, виной которому — человеческий фактор:
«При решении проблемы покупателя вместо номера новой карты был указан номер уже существующей карты другого пользователя, в результате в приложении отобразилась карта лояльности с чужими данными. Мы проанализировали данный случай и изменили алгоритм работы операторов горячей линии с переносом данных; в процессе добавления подтверждения переноса данных кодом на номер телефона, привязанный к карте покупателя».
Эти доработки, как уверяет компания, защитят от повторения подобной ситуации.