Как стать автором
Обновить

JD.com Россия — самоуничтожение запущено

Время на прочтение 4 мин
Количество просмотров 150K
JD.com в России (грубо говоря, конкурент Aliexpress) преследует череда неудач. Точнее, они сами провоцируют эти неудачи, пытаясь захватить российский рынок. Постоянный маркетинговый обман и ввод в заблуждение клиентов привели к тому, что поток помоев на голову JD от российских клиентов просто не иссякает. Но 23 октября в JD.com решили, что пришло время захватить Россию целиком и окончательно. Но получилось так, что они выстрелили себе в голову.



23 октября JD.com Россия запустила неожиданную и невероятную акцию. Я сам участвовал в этой акции от начала и до конца, топик пишу от первого лица. Купоны номиналом 10$ раздавались всем и вся и действовали на покупки от 10.01$. Т.е. фактически выходит, что огромное количество товаров можно получить за какие-то копейки (почти «бесплатно»). Основной метод получения купонов — просто делишься кодом с кем-нибудь, он регистрируется и получает 10$, и ты тоже получаешь 10$. Акция должна была действовать до Нового года (сам процесс получения купонов до 30 ноября). Но уже через несколько часов она дала сбой. Видимо, JD.com не оценили масштаб любви русских к халяве, и финансовые запасы таяли на глазах. Кто-то генерировал купоны сам, кто-то честно через друзей. Кто как умеет. В итоге через несколько часов ужасной работы сайта (ещё бы, такая нагрузка), акция заканчивается. Все купоны у всех людей сбрасываются. Кто-то несколько часов просил друзей регистрироваться и получил шиш.



В официальной группе ВКонтакте такое началось… не удивлюсь, если все русскоязычные сотрудники JD.com сегодня не пошли домой, а заняли должность модераторов.

Это просто очередные цветочки, которые у JD.com случались уже много раз. А вот ягодки…

В системе JD.com обнаружилась дыра. Перейдя по простой и очевидной ссылке любой человек мог увидеть список чужих заказов.



Если зайти в любой заказ, то можно увидеть данные клиентов: имена, адреса, телефоны и пр. Самые актуальные данные, которые только могут быть. Более того, простейшим скриптом в несколько строк с перебором номера заказа из ссылки можно выгрузить базу из сотен тысяч российских клиентов JD.com! Это эпический провал. Не сомневаюсь, что кто-то это уже сделал, и завтра можно будет купить или загрузить актуальнейшую базу платёжеспособных клиентов с полными контактными данными. Желающие найдутся.

Но и это ещё не все. В сети сразу пошли шутки, от которых я чуть не умер со смеха. Это чёрный и злой юмор, но смешно. Представляете себе картину? Человек днём сделал покупку в JD, спит, а ему приходит СМС:



Но и это ещё не всё. За несколько часов дыру никто так и не закрыл. И очень обидно, что официальные претензии предъявлять некому. Сайты JD.ru и JD.com находится не в России, база клиентов тоже. Насколько я знаю, у них нет даже официального представительства в России. Нет, возможно, они у себя там расстреляют несколько китайцев, но нам от этого легче не станет.

UPD. Всё, в сети уже выложили базу российских клиентов JD.com.

UPD II. По состоянию на 7:15 24.10.2015 дыра частично прикрыта.

UPD III. Со мной связался медиа-представитель JD (уж не знаю, что это, и официальный ли это представитель). Чего-то им не нравятся такие заметки от меня. Не удивительно, работали бы качественно — были бы хорошие заметки. А то косяк на косяке и косяком погоняется, но проблему ищут именно в плохих заметках. Спросил про официальный комментарий по поводу утечки личных данных. Получил ответ, что он подготовлен для СМИ. А я ответа не дождался. Видимо, не достоин ответа, т.к. не СМИ. Но, если соблаговолят дать официальный ответ, обязательно его опубликую.

UPD IV. О, пошли угрозы. Мощная многомиллиардная компания! Свои внутренние проблемы и косяки решают с помощью попыток блокирования информации о них. Тут я погорячился, поиск изначально выдал статью про защиту репутации юридического лица, моя ошибка.



UPD V. Для тех, у кого сомнения по поводу слива базы данных. (Попросил модераторов от греха подальше удалить ссылку из комментария, чтобы потом не было претензий ко мне и к ресурсу).

UPD VI. Прошли почти сутки. Группа JD.com Россия в ВК держит глухую оборону — уже почти сутки отключены все комментарии, прошла зачистка. Никто до сих пор из официальных лиц JD не сделал ни одного заявления. Никто из клиентов до сих пор не знает, что будет с купонами. Ни одно СМИ не заинтересовала проблема утечки данных у JD.com (я думаю, что в понедельник всё компенсируется).

UPD VII. Появился первый официальный комментарий. Эти ребята своими же руками рассучивают маховик двигателя машины, которая их же раздавит.

UPD VIII. Отправлено обращение в Роскомнадзор.

UPD IX. Для СМИ. Коллеги, не делайте просто перепечатку пресс-релиза от JD с заголовком о взломе. Прочитайте, пожалуйста, все комментарии к этому топику. Никакого взлома не было. Никаких хакеров не было. JD просто хочет снять с себя ответственность, за дыру на сайте.

UPD X. Судя по публикациям, JD решила бороться с проблемой своим привычным методом — покупкой постов и заметок в новостях. Эльдар Муртазин пишет, что ему предлагали разместить заметку за деньги. Упор делается на то, что была хакерская атака (я думаю, вы понимаете, что дырка на сайте никак не связана с «хакерской» DDoS атакой, если даже она была — никаких подтверждений этому нет, а вот опровержения есть), а JD.com вообще святые. Хотят избежать ответственности.

UPD XI.. JD.com ввела новое обязательно поле в адресе доставки — номер паспорта! Фантастика. Номер паспорта, Карл! Им мало тех данных, что утекли. Теперь ещё и номер паспорт может быть скомпрометирован (если вдруг ситуация повторится). И что там с законом о персональных данных говорится, если они хранят номера паспортов?
Теги:
Хабы:
+46
Комментарии 150
Комментарии Комментарии 150

Публикации

Истории

Работа

Ближайшие события

Московский туристический хакатон
Дата 23 марта – 7 апреля
Место
Москва Онлайн
Геймтон «DatsEdenSpace» от DatsTeam
Дата 5 – 6 апреля
Время 17:00 – 20:00
Место
Онлайн