Вокруг JD.сom разгорелся скандал
Скандалом обернулась маркетинговая акция JD.com в России. Китайский интернет-магазин "обнулил" скидочные купоны покупателей. Также, по сообщениям пользователей, в программном коде сайте обнаружилась уязвимость, которая привела к "сливу" в Сеть личных данных клиентов. К сожалению, пресс-служба JD не смогла ни подтвердить, ни опровергнуть это и в итоге долгих переговоров отказалась дать комментарий Oborot.ru.
Началось все с того, что 23 октября JD анонсировал в российских соцсетях крупную акцию. Ритейлер обещал подарочный купон в $10 на любую покупку с ценой от $10.01 , за приглашение друзей. Пользователю надо было поделиться с другом специальным кодом. Если после этого друг зарегистрировался на JD и ввел код, оба получают по $10.
Акция продлилась буквально несколько часов (хотя должна была продлиться до Нового года). После чего JD объявил о том, что все купоны обнуляются и начал стирать гневные комментарии "ВКонтакте".
Но это еще полбеды. Пользовательские данные по регистрациям и даже конкретным заказам конкретных клиентов утекли в сеть. Одним из первых об этом написал пользователь Kyrie1965 (Юрий Юрьев) в своем блоге на geektimes.ru.
"Если зайти в любой заказ, то можно увидеть данные клиентов: имена, адреса, телефоны и пр. Самые актуальные данные, которые только могут быть. Более того, простейшим скриптом в несколько строк с перебором номера заказа из ссылки можно выгрузить базу из сотен тысяч российских клиентов JD.com!", – пишет он. И приводит скриншот.
Наличие "дырки" потвердили некоторые рунетчики, уже успевшие зарегистрироваться на JD и обнаружившие свои адреса и контактные данные в базах, слитых в Сеть.
"Дыра была несколько часов и парсить данные могли очень многие разные люди. То что попало в сеть – запрос мог написать школьник программист за 5 минут на коленке. Что парсили серьезные люди – в сеть не попадет, естественно, по крайней мере так быстро.
Я есть в базе [личных данных, слитой в Сеть – oborot.ru], включая номер телефона, который был куплен 3 месяца назад (не думаю, что он есть в базах мгтс, особенно легкодоступных)", – пишет пользователь velvetdust в комментариях на сайте издания PC magazine. По его словам, уникальное сочетание его личных данных появилось в Сети именно в день слива. "Их нет больше ни на одном сайте мира – они есть в слитой базе. Даже номер телефона экспортирован в формате JD", – пишет он.
Чуть позже СМИ сообщили, что база пользователей уже доступна для скачивания на некоторых сайтах.
JD отреагировал официальным сообщением пресс-службы. В нем говорится, что всему виной DDoS-атака за которой стоят неизвестные заказчики. Именно эта атака и привела к обнулению купонов. Об утечке данных, к сожалению, не сказано ни слова.
Приводим сообщение целиком:
Казалось бы, неудачной акцией никого не удивишь: так факапили и "Алиэкспресс", и OZON, а в первую "Черную пятницу" сайт распродажи лежал несколько часов. Слив базы – гораздо более серьезная проблема, но и это по разным причинам случалось, причем даже с "Яндекс.Почтой".
Однако история получила неожиданное продолжение вчера вечером, когда известный блогер и эксперт в области мобильных гаджетов Эльдар Муртазин рассказал в своем блоге, что человек, назвавшийся "представителем JD" предложил ему написать заказную статью, обеляющую JD, за 3000 рублей.
"Некая Светлана с левого адреса предложила мне написать в блоге авторский материал (!!!) о JD.ru, о взломе хакерами и том, какая компания белая и пушистая и изложила канву текста. За все это предложено было 3000 рублей, — пишет Эльдар Муртазин. — Гипотетически, видимо, должен был получиться вот такой материал: blog.pcmag.ru/node/2629".
"Со Светланой на связь я не выходил, но в твитере поделился сутью ее предложения", – пишет Муртазин и цитирует сообщения, которые после этого стали приходить на его адрес:
"Вам по ошибке было направлено предыдущее письмо и ВАМ никто НИЧЕГО не предлагал. УДАЛИТЕ письмо немедленно
Как мне принести извинения, чтобы вы перестали писать в твиттер????? пришлите ваши яндекс деньги
Вы не мужчина. Нельзя выкладывать личные письма в соцсети. Мой парень вас найдёт"
В подтверждение своих слов Эльдар Муртазин выложил скриншот самого первого письма:
По словам Муртазина, копию письма у него запросила медиа-представитель JD в России Анжела Гонсалес. Она заявила, что не имеет понятия о том, кто написал письмо. Однако, позже Муртазин добавил, что с ним так и не связались.
Oborot.ru сам связался с Анжелой Гонсалес, чтобы уточнить, действительно ли произошла утечка личных данных, и работает ли в компании Светлана Майкова. Однако медиа-представитель JD в России отказалась официально прокомментировать нам ситуацию.
Скандал на этом не прекратился. Сразу несколько пользователей geektimes.ru, чьи данные оказались слитыми в Сеть, подали в Роскомнадзор жалобы с требованиями разобраться в происходящем.
Мы продолжаем надеяться, что услышим точку зрения компании.
*Facebook признан экстремистской организацией на территории РФ.
В США или Китае уже закрылись все интернет-магазины среднего класса ?
В Китае - таки-да. Площадки алибабы сожрали всю мелочевку. Но там поисковик отделен от торговых площадок, их не индексирует и в выдачу товары не выдает. Свернуть