Комментарии 87
И поскольку это кража, пострадавшие пользователи не увидят ни посылок, ни возмещения пока идет расследование, которое скорее всего затянется?
PickPoint подтверждает свои обязательства по соблюдению интересов своих получателей и заказчиков. Мы делаем все необходимое, чтобы от действий киберпреступников был минимальный ущерб.
Имею опыт общения с техподдержкой PickPoint, только у меня проблема была, что у них не приходили СМС на получение и регистрацию, а срок хранения посылки в итоге истек. В любом варианте у них виноват клиент. Доказать ничего нельзя. и вишенкой мне написали, что посылка выдана и взаимодействие с ними закончено, спасибо, обращайтесь к нам снова, нам было приятно с вами сотрудничать… Имею предположение, что все необходимое совершаемое сейчас техподдержкой тоже заключается в написании писем о успешном сотрудничестве и оперативной выдаче посылке, ну а если клиент отсутствовал в это время, это его вина…
НЛО прилетело и опубликовало эту надпись здесь
Может быть страховка какая-то была, но скорее всего так и есть
В данном случае посылки украденные находятся не у компании, а разворованы случайными «лутерами» (или как их сейчас называют), потому точно вернуть не получится, не поймав лично каждого вора. А вот возместить ущерб — это компания в силах.
Сорри, случайно поставил вашему комментарию минус, а отменить нельзя.
На самом деле интересно решится ли компания возместить полную стоимость всем пострадавшим или обойдутся купончиком на 10% скидки на следующую доставку.
На самом деле интересно решится ли компания возместить полную стоимость всем пострадавшим или обойдутся купончиком на 10% скидки на следующую доставку.Пострадавший-то тут по закону не клиент, а ИМ который доставлял через пикпоинт.
Клиент сделал заказ в ИМ и ждет доставки, проблемы почты/пикпоинта/СДЭК-а его не волнуют, претензии он будет выдвигать в сторону ИМ где делал заказ, а не в сторону пикпоинта.
Это если в Пикпоинте вместе с открытием ящиков не отмечалось автоматом в базе «Товар получен клиентом» :)
У ИМ нулевые шансы доказать что товар доставлен клиенту просто на основании записи о доставке в базе у пикпоинта.
Алиэкспресс, например, умеет поднять эти шансы почти до 100% :)))
Да и как еще ИМ может определить факт доставки? Только по отчету Пикпоинта. Ну или под честное слово добросовестного покупателя.
Да и как еще ИМ может определить факт доставки? Только по отчету Пикпоинта. Ну или под честное слово добросовестного покупателя.
Алиэкспресс, например, умеет поднять эти шансы почти до 100% :)))Только на своей «кухне». Если опротестовать платеж через ПС — практически 100% всё вернут. С российскими магазинами еще проще — суд есть.
Да и как еще ИМ может определить факт доставки? Только по отчету Пикпоинта. Ну или под честное слово добросовестного покупателя.Это как раз те риски, которые виснут на ИМ. Магазин должен доказать, что он поставил товар. А не просто принять оплату за 10 макбуков, а потом сказать «ну у меня в базе отмечено что они получены, извините, гуляйте»
Магазины часто посылают на фиг, но если у кого хватает терпения дойти до суда — выигрышь практически гарантирован.
p.s.: Вообще думали, что пикпоинт видосы пишет, по типу как банкоматы. Но не можем найти ни подтверждения, ни опровержения.
Если опротестовать платеж через ПС — практически 100% всё вернут
Совсем не факт. Вы со своей стороны так же не сможете доказать, что не получили товар. По отслеживанию он был получен, реквизиты получателя верны.
Магазин должен доказать, что он поставил товар. А не просто принять оплату за 10 макбуков, а потом сказать «ну у меня в базе отмечено что они получены, извините, гуляйте»
Тут надо углубляться в условия использования Пикпоинта. Наверняка в них есть что-то типа «забор посылки из почтомата является подтверждением получения этой посылки уполномоченным получателем».
Но может быть все украденные посылки все еще висят в процессе доставки, тут бы услышать человека, чью посылку свистнули из почтомата во время этого сбоя.
Вы со своей стороны так же не сможете доказать, что не получили товар.Клиент и не должен это доказывать.
Каждый доказывает выполнение своей стороны сделки. Клиент доказывает что он оплатил. Магазин доказывает что он доставил.
По отслеживанию он был получен, реквизиты получателя верны.Недостаточно «заявить» что клиент получил товар сославшись на сделанную непонятно кем непонятно где запись, надо получение «доказать».
В случае дорогих товаров с доставкой курьером или почтой — будет подпись получателя, вот это доказательство. В случае дешевых — магазину дешевле рискнуть что его кинут, чем переплачивать за доставку «с подписью».
Тут надо углубляться в условия использования Пикпоинта. Наверняка в них есть что-то типа «забор посылки из почтомата является подтверждением получения этой посылки уполномоченным получателем»Закон в РФ выше договора. В договоре можно написать что угодно, но по закону если магазин не докажет получение товара клиентом — это будет значить что магазин его не доставил.
Недостаточно «заявить» что клиент получил товар сославшись на сделанную непонятно кем непонятно где запись, надо получение «доказать».
Почта же выдает посылки/бандероли по коду в СМС, фиксируя это именно «сделанной непонятно кем непонятно где» записью. Никаких подписей, расписок — ничего вот этого вот.
В магазине товар выдают тоже не под роспись. Приложил карту к терминалу, при оплате до 1000 руб даже пин не вводится.
Совершенно верно.
И делают они это потому, что "магазину дешевле рискнуть что его кинут, чем переплачивать за доставку «с подписью».", а не потому что "если до 1000р списал с кредитки клиента, то и доказывать правильность списания не надо".
Магазин имеет право выдавать товар на любом основании какой он захочет. Но реализация им этого права не избавляет его от ответственности доказывать выдачу товара тому кому положено.
И делают они это потому, что "магазину дешевле рискнуть что его кинут, чем переплачивать за доставку «с подписью».", а не потому что "если до 1000р списал с кредитки клиента, то и доказывать правильность списания не надо".
Магазин имеет право выдавать товар на любом основании какой он захочет. Но реализация им этого права не избавляет его от ответственности доказывать выдачу товара тому кому положено.
Код смс привязан к договору покупки сим карты по паспорту конкретным человеком, поэтому с точки зрения закона это валидная проверка личности. Почти все другое (кроме графологически проверяемой подписи или ЭЦП) — заведомо невалидно в суде.
НЛО прилетело и опубликовало эту надпись здесь
У меня на почте паспорт проверили при подключении, как они это назвали, «электронной подписи».
НЛО прилетело и опубликовало эту надпись здесь
У меня тоже проверили. Два года назад. С тех пор номер мог сменить не одного хозяина.
НЛО прилетело и опубликовало эту надпись здесь
При чем тут срок посылки? Я про то, что соответствие номера телефона и личности сверили только один раз два года назад.
НЛО прилетело и опубликовало эту надпись здесь
Ну, провайдер при этом так же каждый раз личность запросил.
А почта точно в курсе действий провайдера?
на почте смски приходят не по тому, что на ваше имя пришла посылка, они в базу какую-то залезли и нашли ваш телефон.
А вроде потому, что на посылке указан ваш номер телефона.
У меня на многих посылках ничего кроме адреса и ФИО не указано. Однако номер они при этом откуда-то выцепляют.
НЛО прилетело и опубликовало эту надпись здесь
Вообще-то это не так сложно
Так вопрос не про теорию, а про действующую практику :)
А выдают тоже без паспорта, если на посылке номера нет?
Да. Часто даже не переспрашивают номер.
НЛО прилетело и опубликовало эту надпись здесь
Тут уже писали, что у банков все серьезно с этим. Альфа мне блокирует операции моментально после замены SIM. Почта на ее замену не реагирует вообще никак.
Интересно, как? Банк по идее изменившийся IMSI вообще не должен видеть, потому что ему предоставляют только «публичный» номер формата (9**)***-**-**.
На пакете его может и не быть, но вполне вероятно, что он указывается при отправке и выцепляется по треку.
Ты зарегистрировался на почте и согласился предоставить им свои персональные данные. С этих пор поддержание их в достоверном состоянии твоя обязанность.
Ваши проблемы. Надо было отзывать заявление на почту в таком случае.
Проверяет, когда создаешь электронную подпись. Надо назвать оператору в момент регистрации код из СМС. Так и происходит создание связки паспортные данные — номер телефона.
Код смс привязан к договору покупки сим карты по паспорту конкретным человеком, поэтому с точки зрения закона это валидная проверка личности.Вы отчасти правы.
Отправка СМС на конкретный номер действительно подразумевает отправку его конкретному человеку, на которого оформлен номер. Для юридической значимости тут еще должно быть отдельно согласие, но оно обычно бывает, так что тут не вопрос.
Вопрос в том, что момент называния кода из смс тоже должен быть доказуем. Вася сгенерил 123 и послал его Пете, потом заявляет что пришел Петя и сказал ему 123. Сгенерил? Нет вопроса. Послал? Нет вопроса. Получил его от Пети и именно его? Чем доказывается? Что мешает Васе сказать что Петя назвал код, если Петя вообще не заходил?
В случае банков — там система отправки и все такое сертифицировано и признано всякими фсб и государством, но и то есть судебные преценденты, когда подтверждение по СМС оспаривалось. А в случае колхозного ИМ — ну вряд ли.
Честно, я не знаю, есть ли отдельная процедура сертификации инструментов отправки смс. Факт отправки и доставки смс доказывается запросом к опсосу в ходе судебного разбирательства, наверное.
Отправки и доставки — да, доказывается.
Как доказывать, что смс действительно была предьявлена при выдаче товара?
Как доказывать, что смс была отправлена только этому покупателю и посторонние лица к ней доступа не имели?
Как доказывать, что смс действительно была предьявлена при выдаче товара?
Как доказывать, что смс была отправлена только этому покупателю и посторонние лица к ней доступа не имели?
Наверняка почтовому служащему не известен отправленный код, он только вводит тот, что ему назвал клиент. Если код верный, система должна ему дать добро на вручение посылки. Если ты подобрал код с двух попыток, то ты везучий чел, можешь забрать посылку себе.
Наверняка почтовому служащему не известен отправленный код, он только вводит тот, что ему назвал клиент.Да, верно, это страхует саму почту от мошенничества непосредственно служащего.
Но никак не страхует от претензии со стороны клиента, т.к. вся ситуация с кодом основывается исключительно на словах ответственной организации, а не объективных доказательствах.
В случае почты – это так называемая “простая электронная подпись”, которая используется по письменному заявлению клиента. В магазине – сама карта удостоверяет право использовать деньги со счёта.
Но при этом на самой карте написано, что она может быть использована только тем, кому выдана. Однако по картам густо и часто оплачивают абсолютно левые люди. Тут, в принципе, можно обязать проверять паспорт при оплате картой. Рациональное звено в этом есть, потому что ВОЗМОЖНО будет меньше случаев воровства карт, но с другой стороны это будет дурдом. Либо все тупо вернутся на налик, либо будут лютые очереди, пока каждого проверят.
Интересно что почти все они под камерами в торговых точках. МВД может неплохо так поднять статистику раскрываемости мелких преступлений… Хотя маски в торговых центрах...
Они не забирали посылки значит кража не у пользователей.
Проблемы с возвратами и скоростью выдачи по идее.
Банк просто отменит платежи (если это не сделает сам продавец) хотя нет не просто ещё и может сделать так что продавцу станет очень доброго принимать платежи.
А это точно сторонняя атака, а не технический косяк самой компании?
День открытых дверей удался)
Вот так сделаешь умный дом, а он вдруг возьмёт и начнёт открывать все двери
Сюжет фильма Thirteen Ghosts в антураже киберпанка.
Хуже, если он в какой-то момент откажется их открывать. Помните известную сцену из «Одиссеи 2001»?
Или просто откажется вас выпускать. Ты чего пошел? Карантин я сказал, сидеть дома! См. старенький рассказ, который публиковали в одном из номеров журнала Юнный Техник lib.ru/INOFANT/SILVERBERG/rob.txt
Мне это напоминает ситуацию когда сеть регионального сотового оператора падает и валят все на хакеров, а мои инсайдеры до этого за полгода прогнозировали падение.
Надеюсь выпустят честный анализ произошедшего, как было в случае Gitlab'a. Вполне вероятна возможность, что инженер, тестируя новое оборудование, случайно выполнил команду открытия ячеек на боевом сервере.
НЛО прилетело и опубликовало эту надпись здесь
Подробности атаки компания не пояснила.
А ведь это самое интересное!
Сэкономили на разработчиках и ИТ-безопасниках, ну что ж бывает. Интересно вынесут ли урок.
То-есть 29 ноября в воскресенье у них был юбилей установки первого пакомата, а через неделю в пятницу у них произошёл глобальный сбой? И они точно не праздновали этот юбилей в пятницу и точно не использовали при этом один из тестовых пакоматов и точно не посылали на него команду на открытие всех дверей и точно не перепутали тестовую и продакшен среды?
Как это вообще возможно?
Незашифрованный трафик? Кривая авторизация?
Пахнет касяком компании, забившей на элементарные правила безопасности.
Незашифрованный трафик? Кривая авторизация?
Пахнет касяком компании, забившей на элементарные правила безопасности.
Наверняка хацкеры получили доступ к удаленному доступу.
Тэк, 49.000 коробок «пострадали», но, при этом, украдено всего «не более 1000»? Это что же, веру в человечество можно восстанавливать из бэкапа? Ого.
Действительно, странно это. Неужели неуловимые хакеры смогли пробраться сквозь тернии VPN? Или всё-таки VPN там и не было?
История забавная, только что стал жертвой их скорого ремонта постаматов. Как и все пользователи получил сообщение о неисправности постамата в день взлома. Но пару дней назад было по пути и зашел посмотреть. Думал починили а смс не отправили. Меня встретила в мониторе интерфейс Windows 10 с возможностью ковыряться в её настройках. Доступ к сети был отключен. Сегодня пришла смс о том, что постомат работает и можно забрать заказ. Когда я пришел к нему меня в этот раз встречало окно авторизации с двумя пользователями «Administrator» и «admin» оба просили ввода пароля. Попытки дозвонится по телефону написанном на постамате увенчались провалом. Но как человек, знающий что 95% сбоев в ПО чинится перезагрузкой устройства. Я отправил на перезагрузку аппарат. После перезагрузки аппарат начал логиниться под «Administrator» и открыл мне знакомый рабочий стол с двумя файлами «aspnet_setup» и второй реестровый файл название которого вызвало улыбку «f*ckingshit». Так как моей задачей было забрать посылку а не разбираться с устройством, в трее я увидел автозапуском незнакомый значок и щелкнул его, в следствии чего меня встретило окно системы с рыжими кнопками из интересных доступных элементов я отметил «Управление ячейками» и «Рабочий режим». Было кратковременное желание полезть в дебри устройства, но здравый смысл подсказал запустить устройство в «Рабочий режим». В итоге зашуршали устройства картоприемник и приемник налички и через какое то время прожав несколько alert окон получилось запустить. Заказ забрал, как с обычного устройства.
Сейчас интересно содержимое файла с интересным названием и хоть доступ к розетке был в открытом доступе, можно было бы перезагрузить устройство и изучить его. Но думаю с таким отношением к своим устройствам должны разбираться сотрудники компании
Сейчас интересно содержимое файла с интересным названием и хоть доступ к розетке был в открытом доступе, можно было бы перезагрузить устройство и изучить его. Но думаю с таким отношением к своим устройствам должны разбираться сотрудники компании
Скриншот бы ещё сюда добавить…
После перезагрузки аппарат начал логиниться под «Administrator» и открыл мне знакомый рабочий стол с двумя файлами «aspnet_setup» и второй реестровый файл название которого вызвало улыбку «f*ckingshit».
Ну что, ждем новости об еще одной хакерской атаке отдельных постоматов.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
PickPoint оценила, сколько товара украли из взломанных постаматов