Недавно у меня взломали аккаунт Okko, списали денег с привязанной карты и изменили контактные данные в акке. Решил рассказать вам как это произошло, а главное почему и что сервису стоит улучшить, чтобы таких ситуаций не происходило в будущем.

1_Okko_Splash

На презентации подарили сертификат на годовую премиум-подписку от Okko. Долгое время он лежал без дела, пока я не обновил телек на Smart TV, где как раз было их приложение. Авторизовался, активировал промо-код, начал смотреть сериалы. Некоторые из них были доступны только после символической оплаты в рубль, так что потребовалось привязать свою карту. К счастью мне хватило мозгов привязать виртуалку с лимитом в 1000 рублей.

Во время просмотра сериал постоянно прерывался, как оказалось, мой аккаунт взломали и использовали для халявного просмотра. Пожаловался в службу поддержки, они сказали, что к акку привязано много левых устройств и что его, скорее всего, в ближайшее время забанят. Посоветовали создать новый аккаунт. Промо-код в этом случае не возвращается.

Но мне-то обидно, я же не виноват! Пожаловался в официальной группе в ФБ, там обещали помочь и перенаправили запрос в поддержку. Три недели им потребовалось на то, чтобы разобраться в ситуации. Извинились, отключили все левые устройства, сбросили пароль и апгрейднули подписку на более крутую.

Однако спустя несколько месяцев (первая часть была в августе, вторая сейчас) я получаю смску от Тинькофф Банка, что было несколько списаний в Okko суммарно на 550 рублей, заглядываю в свой аккаунт и вижу, что там указана не моя почта, а также не мой номер телефона. При этом изменить почту из личного кабинета нельзя, а номер телефона можно, что я и сделал.

В прошлый раз мне помогли в ФБ, поэтому снова туда и написал. Из группы помочь не смогли попросили написать им на почту. Отправил письмо, но для надежности решил и позвонить. Набрал в поддержку, полчаса разбирались, в итоге они запросили копию переписки по прошлому случаю и выписку из банка о списаниях. Сказали прислать это всё им на почту, а далее уже разберутся. Выслал, через несколько часов пришёл ответ: «так и так, был куплен и просмотрен фильм с такого-то телевизора, деньги возвращать не будем».

Я не знаю откуда у мошенников доступ к моему аккаунту. Но я однозначно знаю что в Okko могли бы сделать, чтобы таких ситуаций избежать. Прежде всего ввести двухфакторную авторизацию. То есть добавляешь новое устройство, подтверждаешь смской. Меняешь почту — подтверждаешь смской. Затем стоит добавить уведомления о смене телефона и почты хоть каким-то образом. Если бы не списания, я бы мог и не узнать, что аккаунт скомпрометирован. Ну и конечно же ввести опцию «разрешить смену данных только по звонку». Также нужно добавить возможность отключать устройства в приложении или личном кабинете, сейчас это делается только через службу поддержки. Т.е. неважные штуки мы делаем по звонку, а важные позволяем менять без уведомлений. Как мне объяснили по телефону, смена контактных данных происходит из-за объединения аккаунтов. Типа у вас два разных акка на телевизоре и телефоне и вы их объединяете в один. Но для этого нужен доступ к устройству с аккаунтом, а моим смартфоном и телевизором я никому не давал пользоваться.

Но самое обидное, что я уже жаловался на всё это им полгода назад. Сказали, что уязвимость устранили, а воз и ныне там. Любой сервис, который так или иначе связан с деньгами, должен очень внимательно подходить к защите данных пользователя. А тут сменили почту и номер телефона в аккаунте, а я узнал об этом только после того, как начали списывать деньги. Отдельно меня расстроило, что сотрудник службы поддержки, отвечавший мне на письмо, видимо даже не пытался вникнуть в мою ситуацию. Такое ощущение, что он и письмо-то полностью не прочёл.