Постаматы PickPoint стали автоматически открывать дверцы в результате взлома

    В работе сервиса PickPoint произошел сбой из-за взлома — постаматы начали открывать двери․ Запись об этом появилась в официальном сообществе «VK» (на данный момент удалена). В компании подтвердили факт сбоев.

    Сбой зафиксировали 4 декабря в 15:06 мск, добавили в компании.

    PickPoint проведёт восстановление системы в ближайшее время. «Дистанционно провести эту работу невозможно, необходим физический выезд на каждую точку, поэтому работы будут вестись всю ночь. Точки, которые не доступны в ночное время, будут восстановлены завтра с утра», — сообщили в компании.

    Компании просят закрывать двери свидетелей происшествия.
    Компании просят закрывать двери свидетелей происшествия.

    Компании просят закрывать двери свидетелей происшествия.

    Несколько лет назад сервис PickPoint перенёс сервис в облако.

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 29

      +9
      Компания PickPoint подтвердила инцидент, причиной которого стала «кибератака неустановленных лиц на провайдеров, обеспечивающих доступ в интернет для постаматов».

      Ну то есть в переводе на нормальный язык «мы идиоты и у нас удаленный доступ к постамату торчит в интернет, да еще и (наверное) с одним и тем же паролем на (все?) постаматы».
        0
        удаленный доступ к постамату торчит в интернет
        Но как тогда нашли именно постаматы именно Pick Point?
          +3

          Ну либо они все имеют одинаковые характерные черты и легко находятся в том же shodan'e, либо все обращаются к одному хреново защищенному серверу, либо вообще состоят в какой-нибудь пиринговой сети
          Либо, конечно, все сразу

        –2
        Я один раз пользовался. Вообще удобно, если рядом. Правда перепутали артикулы товара и пришлось возвращать… тоже через постамат.
          –6
          Я через постамат получал смартфон с Тмолла на Али. Теперь понимаю, как мне повезло :/
            +1

            Как повезло? Расскажите. Пусть каждый опишет свой опыт, как он получил носки и шапочку через постомат

              –3
              Как повезло?
              Что я его вообще получил, а не открылись дверцы и его достал прохожий.
              Посмотрим, чем дело кончится, но пока у меня пропало желание использовать этот метод доставки.
                +10
                Ну да, это же происходит каждый день. И прям таки игра в лотерею. Ух.
                  –6
                  Если окажется, что кучу посылок разворовали и при этом PickPoint отмораживается, то я не хочу играть в эту лотерею.
                    0
                    Но вы играете в куда более крупную лотерею, с куда более худшими шансами — жизнь. Доехал на автобусе не попал в аварию, долетел на самолете — не разбился, слили пароли от почтовика N но при том пользуетесь M: И каждый раз воспринимать в ключе «Теперь понимаю, как мне повезло»?
          +5
          (на данный момент удалена)
          Зато есть на офсайте. Мне нравится формулировка:
          Компания PickPoint берет на себя ответственность по соблюдению интересов своих пользователей в сложившейся ситуации и обеспечит персональное прозрачное решение по каждому обращению.
          Не «мы компенсируем», а «персональное прозрачное решение»
            0
            не все имеет цену. Через сервис могли отправить документы или ещё что то. То что компания не раздает дебильные бонусы в виде компенсации, а готова идти на персональный диалог это благо.
              +1
              Может компенсировать и не собираются? Договор-то у них заключён не с физиками-покупателями, а в продавцами-юриками, и вряд ли там есть безусловная компенсация за все их косяки.

              Покупателям в любом случае ничего не светит, по логике там лежало 2 типа товаров – оплаченные и неоплаченные.

              Оплаченные покупателем товары принадлежат по факту покупателю, но платил-то он продавцу, с пикпоинтом у него нет вообще никаких взаимоотношений, так что и требовать оплаченный товар он будет и должен именно с продавца

              За неоплаченные товары тем более пикпоинт покупателю ничего не должен, это продавцы будут бегать и месяцами просить компенсировать этот факап
              +1
              имхо
              программисты пишут как умеют, аспекты информационной безопасности должны вноситься специалистами ИБ в ТЗ.
              К сожалению ИБ в РФ это 90% знание номеров нормативных документов регуляторов.
              Скорее всего эту систему даже подали как объект КИИ, что мало помогает в рамках защиты от обычных ребят (без спец. образования по ИБ) увлекающихся сетевыми технологиями.
                +7
                Несколько лет назад сервис PickPoint перенёс сервис в облако.

                Не сторонник облачных сервисов, но «после не обязательно вследствие этого».
                  +1
                  Последний абзац в новости — это «ранее в сериале», предыдущие события на тему или с компанией. Может быть как связано с текущей, так и бузина в огороде.
                  +2

                  Обидный сбой, конечно. Несколько раз заказывал доставку на такой вот почтомат. Очень удобно. А представьте, если можно было бы придти на почту России к такому почтомату и не чувствовать себя идиотом, когда стоишь в очереди ради минутного получения посылки, а перед тобой отправляют гору заказных писем, тратя по 10 минут на каждое.

                    0
                    Так есть же абонентские ящики прямо в отделении. Да, не всякая посылка туда влезет. Но сам факт.
                    А так, последнее время получше на почтах стало. Если много отправлять то приходит начальник (не помню как у них там должности распределяются) и паралельно посылки выдает. Так минимум в 3х разных отделениях в разных концах города встречал. (иногда у дома получаю иногда у работы, когда как)
                      0

                      У меня в почтовом отделении лучше не стало. В августе я совершил три неудачные попытки получить три посылки в течение трёх недель. Потом заказал у них же платную доставку на адрес. Несколько дней моя теща безуспешно дома ждала почтальона, никуда не выходила. Пока не написал жалобу через приложение. Принесли в тот же день. Правда, в 22.30 вечера

                      –1
                      Записывайтесь на определенное время и получайте без очереди, в чём проблема?
                        –1

                        Вы никогда не видели очередь из людей, которые записались на время? Приходишь, а там стоит две очереди: по времени и общая. А ещё было так, что приходишь по времени, а у них система висит. Но и это не все. Приходишь, выносят посылку, а у них смс не приходят, если у тебя упрощённое получение. Давайте, мол, извещение. А ты, такой-сякой, его не принес.
                        Конечно, это очень нормально, 21 век, чтобы с полки получить посылку надо дождаться извещения в почтовом ящике, заполнить его, записаться на время, придти чуть раньше, проконтролировать, что нет второй очереди и у них система не висит в данный момент времени.

                          0
                          Вы никогда не видели очередь из людей, которые записались на время? Приходишь, а там стоит две очереди: по времени и общая.
                          К счастью нет, у меня маленькое отделение связи, где всего 2 окошка, а работает чаще всего одно. И я когда прихожу ко времени, просто у оператора спрашиваю, в какое окно (да-да, даже если оно одно работает) мне обратиться по предварительной записи на такое-то время. Оператор сама меня вызывает после того, как отпустит текущего посетителя. Правда пришлось весной побороться за это, 3 жалобы по разным обстоятельствам обслуживания именно в этом отделении, и они начали работать нормально.

                          А ещё было так, что приходишь по времени, а у них система висит.
                          К счастью тоже редко сталкивался.

                          Приходишь, выносят посылку, а у них смс не приходят, если у тебя упрощённое получение. Давайте, мол, извещение. А ты, такой-сякой, его не принес.

                          У меня извещения чаще приносят спустя неделю после получения :) Всё же бот в телеграм быстрее уведомляет о приходе бандеролек :) Ну и паспорт всегда с собой, не было такого, что б не отдали.

                          Конечно, это очень нормально, 21 век, чтобы с полки получить посылку надо дождаться извещения в почтовом ящике, заполнить его, записаться на время, придти чуть раньше, проконтролировать, что нет второй очереди и у них система не висит в данный момент времени.
                          Мой вам совет: «дрючте» их жалобами с их же сайта. Это работает. Жалобы действительно рассматривают.
                          Я начал писать жалобы, после того, как мне на почте оказали в отправке заказного письма после 19:30. Т.е. я мог купить конверт, мог купить куклу, консервы, лотерейный билет, а вот отправить письмо в отделении связи я не смог, при этом отстояв очередь. И да, передо мной как раз подошел знакомый человек на 19:30 по предварительной записи. Ему можно было отправить, а мне нельзя.
                          Этот маразм я описал в жалобе (кстати, на их сайте форма отправки текста имеет ограничение на кол-во знаков, бред), и вуаля, больше подобное не повторялось.
                      0

                      Блин. У меня две посылки едут в пикпоинт. Пойду выдерну из розетки если тоже дверками хлопает

                        –2

                        Вчера у Ростелекома были проблемы с интернетом. Совпадение?

                          0
                          Так получилось, что пришёл к одному такому постомату спустя 15 минут после начала этого сбоя. Клиентское приложение браузерное, хостится под локальным MS ISA. Судя по ошибкам, которые сначала показывал браузер (HTTP 500 с деталями, в т. ч. указанием какого-то локального пути) мне показалось что оно вследствие чего-то просто исчезло. Неудачный деплой? Потом всё и вовсе вылетело в рабочий стол Windows 10 после перезагрузки. Можно было при желании полазить по компу.

                          Но дело то не в этом. Похоже, что электронные замки на ящиках тоже как-то цепляются к этому приложению или чему-то на этом компе. И, если не получают ответ от приложения в течение какого-то времени, то просто открываются по таймауту. Выглядит это как открытие всех ящиков раз в несколько минут в той же последовательности, что их закрывали.

                          Вопросы: каким образом замки с таким режимом работы оказались в постоматах? Это осознанный выбор проектировщиков или просто не подумали?
                            0
                            Вопросы: каким образом замки с таким режимом работы оказались в постоматах? Это осознанный выбор проектировщиков или просто не подумали?

                            У замка не может быть режима работы. Замок — это электромагнит, которым управляет компьютер. Появилось +5 на каком-то пине — электромагнит потянул защелку — дверь открылась. Ну обратная связь еще должна быть — геркон у дверцы, чтобы знать, открыта она или закрыта. Любой косяк — это именно косяк программного обеспечения.
                              +2
                              Да, больше похоже на корявый деплой, чем «хакерскую атаку». Но всегда проще свалить на злых хакеров, чем признать что сами обосрались…
                                +1

                                Электромеханические замки могут быть как нормально открытые (НО), так и нормально закрытые (НЗ), в зависимости от наличия питания/управляющего сигнала. Не зря на большинстве контроллеров для замков есть переключатели режима работы замка. Если бы в этих ящиках стояли бы электромагнитные замки, то ящики бы открывались все при потере/сбое питания, что не есть гуд.

                                  0
                                  У нас в городе во всех постаматах стоят подпружиненые дверцы и замок-защелка, у которой ригель тоже на пружинке. Когда надо открыть — электромагнит дергает ригель, замок открывается, пружина отталкивает дверцу, электромагнит отпускает ригель. Клиент забрал посылку — закрывает дверь, замок запирается сам, без электромагнита. Электричество пропадет — все остается закрытым.

                            Only users with full accounts can post comments. Log in, please.