Американский интернет-магазин Amazon обвинили в разглашении персональных данных пользователей. Поскольку эта тема очень актуальна и в нашей стране, российским компаниям следует учесть опыт американцев.
В прошлом году один из клиентов ритейлера Эрик Спрингер получил из Amazon письмо с просьбой оценить работу службы поддержки компании. Мужчина подумал, что это какая-то ошибка или письмо просто запоздало (в последний раз он обращался в магазин с месяц назад), но из любопытства связался с поддержкой Amazon.
Выяснилось, что неизвестный человек, назвавшись Спрингером, пытался получить его личные данные. В частности, в ходе общения с поддержкой, злоумышленник использовал информацию из WHOIS доменных имен, которые регистрировал Спрингер. Они были ненастоящими, так как Спрингер понимал и осознавал опасность и не стал вводить реальные данные. Но даже на основании этой информации в магазине самозванцу выдали адрес Спрингера.
Чтобы избежать подобных ситуаций в будущем, Спрингер попросил ритейлера отметить свой аккаунт как "подвергающийся атакам". К тому же, он настаивал, что всегда авторизуется в системе, когда совершает покупки или общается с продавцом. Впоследствии выяснилось, что злоумышленники еще дважды пытались получить информацию о Спрингере. В одном случае им этого не удалось, так как служба поддержки попросила назвать четыре последние цифры кредитной карты, "привязанной" к системе. О третьем случае ничего не известно, так как это был телефонный звонок, а компания не хранит их записи.
В этой связи, Спрингер составил список из нескольких советов ритейлерам, которые позволят избежать подобных ситуация в будущем:
- Не выдавайте пользовательские данные тем клиентам, которые не могут авторизоваться на сайте.
- Проверяйте и сопоставляйте IP-адреса с которых заходят клиенты.
Справедливости ради отметим, что многие пользователи попытались повторить трюк, описанный Спрингером, но никому этого не удалось. Как только Amazon получал фальшивый адрес, то его менеджеры прекращали общение.
 |
Андрей С.
Торговля (Одежда, обувь, аксессуары, мини-компания) |
Собственно у меня была похожая ситуация. Наблюдалась на Chrome для ПК, для мобильных не проверял. Сейчас установил ssl сертификат от комодо, бесплатно на 90 дней. Если все будет нормально куплю готовой ssl
Ну когда лажают с сертификатом владельцы магазинов это объяснимо, но когда платежная система, то вот это я понять уже ну никак не могу...
Как можно было купить сертификаты или использовать ПО с криптомодулями, которые не проходят проверку в самом популярном браузере то ? Они что свой сервис вообще не тестируют что ли ?
P.S. не прошло и дня после некоторого участия заинтересованных профильных СМИ и Яндекс уже исправил проблемы с сертификатом
Свернуть
 |
|
