PickPoint оценила, сколько товара украли из взломанных постаматов



    Согласно информации издания «КоммерсантЪ», 8 декабря 2020 года PickPoint озвучила предварительный ущерб и оценила последствия хакерской атаки на свою постаматную сеть. Вдобавок компания раскрыла данные о том, сколько посылок с заказами были украдены проходящими мимо людьми из открытых ячеек постаматов.

    Предварительное расследование, проведенное специалистами PickPoint, показало, что 4 декабря в 15:06 мск было зафиксировано аномальное поведение систем управления почти половины собственных постаматов компании. Они начали хаотично открывать дверцы. В основном этот процесс происходил в произвольном порядке. Сбой затронул 2732 постамата из 5100, находящихся в различных городах России. В этот момент в них находилось около 49 тыс. заказов на общую стоимость 150 млн рублей. Примечательно, что еще около 8000 точек выдачи партнерской сети PickPoint работали в штатном режиме.

    Видео с одним из открытых постаматов.


    В качестве первоначального решения по организации блокировки доступа к ячейкам постаматов PickPoint выдала срочную рекомендацию всем партнерам, прохожим и заинтересованным лицам — отключить пострадавший постамат от электросети и только потом закрыть все его дверцы.

    PickPoint уточнила, что через 20 минут с момента начала атаки ее специалистам удалось дезактивировать 80% из 2732 зараженных постаматов, чтобы их дверцы перестали открываться.

    PickPoint почти сразу заявила, что этот инцидент является кибератакой, проведенной против компании неустановленными лицами. Для восстановления работоспособности сети постаматов PickPoint привлекла дополнительные ресурсы, включая инженеров и ИТ-специалистов. Подробности атаки компания не пояснила.

    PickPoint рассказала, что на оперативную поддержку пользователей и восстановление сети постаматов компания потратила 10 млн рублей.

    В настоящее время работоспособность около 95% всех пострадавших постаматов восстановлена. Специалистами PickPoint не удалось починить после атаки 300 постаматов. Им требуется дополнительная замена оборудования.

    По итогам инвентаризации и проверки состояния пострадавших постаматов PickPoint выяснила, что из них было украдено не более 1 тыс. посылок. PickPoint уже обратилась в МВД с заявлением по поводу кражи заказов своих клиентов.

    См. также:

    Комментарии 86

      +24
      И поскольку это кража, пострадавшие пользователи не увидят ни посылок, ни возмещения пока идет расследование, которое скорее всего затянется?
        +2
        PickPoint подтверждает свои обязательства по соблюдению интересов своих получателей и заказчиков. Мы делаем все необходимое, чтобы от действий киберпреступников был минимальный ущерб.
          +1
          Имею опыт общения с техподдержкой PickPoint, только у меня проблема была, что у них не приходили СМС на получение и регистрацию, а срок хранения посылки в итоге истек. В любом варианте у них виноват клиент. Доказать ничего нельзя. и вишенкой мне написали, что посылка выдана и взаимодействие с ними закончено, спасибо, обращайтесь к нам снова, нам было приятно с вами сотрудничать… Имею предположение, что все необходимое совершаемое сейчас техподдержкой тоже заключается в написании писем о успешном сотрудничестве и оперативной выдаче посылке, ну а если клиент отсутствовал в это время, это его вина…
            +1

            "— Как видите, господа, более девяноста процентов текста при анализе просто улетучилось, так как не имеет никакого смысла, а суть того, что осталось, можно выразить следующим образом:
            «Анакреон не имеет пред Империей никаких обязательств»." ©

              +1

              Откуда это?

                +1
                Азимов Айзек же… «Основание [Академия]»
            +2
            Может быть страховка какая-то была, но скорее всего так и есть
              +1
              если с алишки посылки то есть шанс получить возврат, если внутри страны то скорее всего появится куча непреодолимых сложностей…
                0
                Каким образом? Алишка просто ткнёт носом в трек что всё выдано и дальше не будет разбираться. Мне как то подобным образом пытались доказать что я всё получил вообще по левому треку, с чужим городом… еле доказал что то.
              +10
              В данном случае посылки украденные находятся не у компании, а разворованы случайными «лутерами» (или как их сейчас называют), потому точно вернуть не получится, не поймав лично каждого вора. А вот возместить ущерб — это компания в силах.
                +6

                Сорри, случайно поставил вашему комментарию минус, а отменить нельзя.
                На самом деле интересно решится ли компания возместить полную стоимость всем пострадавшим или обойдутся купончиком на 10% скидки на следующую доставку.

                  +3
                  На самом деле интересно решится ли компания возместить полную стоимость всем пострадавшим или обойдутся купончиком на 10% скидки на следующую доставку.
                  Пострадавший-то тут по закону не клиент, а ИМ который доставлял через пикпоинт.
                  Клиент сделал заказ в ИМ и ждет доставки, проблемы почты/пикпоинта/СДЭК-а его не волнуют, претензии он будет выдвигать в сторону ИМ где делал заказ, а не в сторону пикпоинта.
                    +2
                    Это если в Пикпоинте вместе с открытием ящиков не отмечалось автоматом в базе «Товар получен клиентом» :)
                      +1
                      У ИМ нулевые шансы доказать что товар доставлен клиенту просто на основании записи о доставке в базе у пикпоинта.
                        +1
                        Алиэкспресс, например, умеет поднять эти шансы почти до 100% :)))
                        Да и как еще ИМ может определить факт доставки? Только по отчету Пикпоинта. Ну или под честное слово добросовестного покупателя.
                          +3
                          Алиэкспресс, например, умеет поднять эти шансы почти до 100% :)))
                          Только на своей «кухне». Если опротестовать платеж через ПС — практически 100% всё вернут. С российскими магазинами еще проще — суд есть.

                          Да и как еще ИМ может определить факт доставки? Только по отчету Пикпоинта. Ну или под честное слово добросовестного покупателя.
                          Это как раз те риски, которые виснут на ИМ. Магазин должен доказать, что он поставил товар. А не просто принять оплату за 10 макбуков, а потом сказать «ну у меня в базе отмечено что они получены, извините, гуляйте»
                          Магазины часто посылают на фиг, но если у кого хватает терпения дойти до суда — выигрышь практически гарантирован.

                          p.s.: Вообще думали, что пикпоинт видосы пишет, по типу как банкоматы. Но не можем найти ни подтверждения, ни опровержения.
                            +1
                            Если опротестовать платеж через ПС — практически 100% всё вернут

                            Совсем не факт. Вы со своей стороны так же не сможете доказать, что не получили товар. По отслеживанию он был получен, реквизиты получателя верны.
                            Магазин должен доказать, что он поставил товар. А не просто принять оплату за 10 макбуков, а потом сказать «ну у меня в базе отмечено что они получены, извините, гуляйте»

                            Тут надо углубляться в условия использования Пикпоинта. Наверняка в них есть что-то типа «забор посылки из почтомата является подтверждением получения этой посылки уполномоченным получателем».
                            Но может быть все украденные посылки все еще висят в процессе доставки, тут бы услышать человека, чью посылку свистнули из почтомата во время этого сбоя.
                              +3
                              Вы со своей стороны так же не сможете доказать, что не получили товар.
                              Клиент и не должен это доказывать.
                              Каждый доказывает выполнение своей стороны сделки. Клиент доказывает что он оплатил. Магазин доказывает что он доставил.

                              По отслеживанию он был получен, реквизиты получателя верны.
                              Недостаточно «заявить» что клиент получил товар сославшись на сделанную непонятно кем непонятно где запись, надо получение «доказать».
                              В случае дорогих товаров с доставкой курьером или почтой — будет подпись получателя, вот это доказательство. В случае дешевых — магазину дешевле рискнуть что его кинут, чем переплачивать за доставку «с подписью».

                              Тут надо углубляться в условия использования Пикпоинта. Наверняка в них есть что-то типа «забор посылки из почтомата является подтверждением получения этой посылки уполномоченным получателем»
                              Закон в РФ выше договора. В договоре можно написать что угодно, но по закону если магазин не докажет получение товара клиентом — это будет значить что магазин его не доставил.
                                +1
                                Недостаточно «заявить» что клиент получил товар сославшись на сделанную непонятно кем непонятно где запись, надо получение «доказать».

                                Почта же выдает посылки/бандероли по коду в СМС, фиксируя это именно «сделанной непонятно кем непонятно где» записью. Никаких подписей, расписок — ничего вот этого вот.
                                В магазине товар выдают тоже не под роспись. Приложил карту к терминалу, при оплате до 1000 руб даже пин не вводится.
                                  +2
                                  Совершенно верно.
                                  И делают они это потому, что "магазину дешевле рискнуть что его кинут, чем переплачивать за доставку «с подписью».", а не потому что "если до 1000р списал с кредитки клиента, то и доказывать правильность списания не надо".

                                  Магазин имеет право выдавать товар на любом основании какой он захочет. Но реализация им этого права не избавляет его от ответственности доказывать выдачу товара тому кому положено.
                                    0
                                    Не буду спорить, хотя все равно остаюсь при мнении, что тут не все так просто :)
                                    +1

                                    Код смс привязан к договору покупки сим карты по паспорту конкретным человеком, поэтому с точки зрения закона это валидная проверка личности. Почти все другое (кроме графологически проверяемой подписи или ЭЦП) — заведомо невалидно в суде.

                                      +1
                                      по паспорту конкретным человеком

                                      Но почта не проверяет, что привязанный номер принадлежит именно тому человеку.
                                        0
                                        У меня на почте паспорт проверили при подключении, как они это назвали, «электронной подписи».
                                          0
                                          Но телефон при этом всё равно мог быть зареган на левого человека.
                                            +1
                                            Как мне кажется, если я указал именно этот номер, и подтвердил свою личность паспортом, то почте закономерно безразлично, чей это номер на самом деле. В данном случае, получается эдакий аналог доверенности на получение корреспонденции. Её ведь тоже кому попало давать не следует…
                                            0
                                            У меня тоже проверили. Два года назад. С тех пор номер мог сменить не одного хозяина.
                                              0
                                              ваша посылка шла 2 года?
                                                0
                                                При чем тут срок посылки? Я про то, что соответствие номера телефона и личности сверили только один раз два года назад.
                                                  0
                                                  Потому что вся тема про то, как человеку выдали посылку по коду в смске.
                                                  С тех пор номер мог сменить не одного хозяина.
                                                  Ну, провайдер при этом так же каждый раз личность запросил.
                                                  При чем тут срок посылки?
                                                  При том, что на почте смски приходят не по тому, что на ваше имя пришла посылка, они в базу какую-то залезли и нашли ваш телефон.
                                                  А вроде потому, что на посылке указан ваш номер телефона.

                                                  А то, что раньше проверяли, а сейчас перестали — хз, с года полтора-два назад у меня так же проверяли. С тех пор не заказывал ничего, но подозреваю дело не в том, что у них где-то отмечено в базе, что номер к паспорту привязан.
                                                    0
                                                    Ну, провайдер при этом так же каждый раз личность запросил.

                                                    А почта точно в курсе действий провайдера?
                                                    на почте смски приходят не по тому, что на ваше имя пришла посылка, они в базу какую-то залезли и нашли ваш телефон.
                                                    А вроде потому, что на посылке указан ваш номер телефона.

                                                    У меня на многих посылках ничего кроме адреса и ФИО не указано. Однако номер они при этом откуда-то выцепляют.
                                                      0
                                                      А почта точно в курсе действий провайдера?
                                                      Вообще-то это не так сложно, но даже банки нормально не умеют (но тут я вспомнил про почта банк, который в втб входит и совместный вроде их проект)
                                                      У меня на многих посылках ничего кроме адреса и ФИО не указано. Однако номер они при этом откуда-то выцепляют.
                                                      Хм, значит базу ведут. Прогресс. А выдают тоже без паспорта, если на посылке номера нет?
                                                        0
                                                        Вообще-то это не так сложно

                                                        Так вопрос не про теорию, а про действующую практику :)
                                                        А выдают тоже без паспорта, если на посылке номера нет?

                                                        Да. Часто даже не переспрашивают номер.
                                                          0
                                                          Так вопрос не про теорию, а про действующую практику :)
                                                          Я там не работаю, без понятия. Практика в банках показывает, что даже перевыпуск симки тобой же грозит обернуться проблемами через 3-6 месяцев. ВТБ умудрился залочить мне операции в кабинете (не вход!) только через несколько месяцев на этом основании, а ещё через месяц после посещения отделения банка — так вообще даже вход похерить прям перед оплатой ипотеки.
                                                          А мне всего-то нужна была микросимка вместо мини...
                                                            0
                                                            Тут уже писали, что у банков все серьезно с этим. Альфа мне блокирует операции моментально после замены SIM. Почта на ее замену не реагирует вообще никак.
                                                              0
                                                              Ну вот ВТБ мне серьезно и заблокировал… через 3-4 месяца. Всё отлично
                                                                0
                                                                Ну тем более — если даже банки с их безопасностью так относятся к этому, то про почту и говорить нечего :)
                                                              0
                                                              Интересно, как? Банк по идее изменившийся IMSI вообще не должен видеть, потому что ему предоставляют только «публичный» номер формата (9**)***-**-**.
                                                          0
                                                          На пакете его может и не быть, но вполне вероятно, что он указывается при отправке и выцепляется по треку.
                                                        +1
                                                        Ты зарегистрировался на почте и согласился предоставить им свои персональные данные. С этих пор поддержание их в достоверном состоянии твоя обязанность.
                                                          +1
                                                          А у Пикпоинта не так?
                                                      0
                                                      Ваши проблемы. Надо было отзывать заявление на почту в таком случае.
                                                  0
                                                  Код смс привязан к договору покупки сим карты по паспорту конкретным человеком, поэтому с точки зрения закона это валидная проверка личности.
                                                  Вы отчасти правы.

                                                  Отправка СМС на конкретный номер действительно подразумевает отправку его конкретному человеку, на которого оформлен номер. Для юридической значимости тут еще должно быть отдельно согласие, но оно обычно бывает, так что тут не вопрос.

                                                  Вопрос в том, что момент называния кода из смс тоже должен быть доказуем. Вася сгенерил 123 и послал его Пете, потом заявляет что пришел Петя и сказал ему 123. Сгенерил? Нет вопроса. Послал? Нет вопроса. Получил его от Пети и именно его? Чем доказывается? Что мешает Васе сказать что Петя назвал код, если Петя вообще не заходил?

                                                  В случае банков — там система отправки и все такое сертифицировано и признано всякими фсб и государством, но и то есть судебные преценденты, когда подтверждение по СМС оспаривалось. А в случае колхозного ИМ — ну вряд ли.
                                                    0

                                                    Честно, я не знаю, есть ли отдельная процедура сертификации инструментов отправки смс. Факт отправки и доставки смс доказывается запросом к опсосу в ходе судебного разбирательства, наверное.

                                                      0
                                                      Отправки и доставки — да, доказывается.
                                                      Как доказывать, что смс действительно была предьявлена при выдаче товара?
                                                      Как доказывать, что смс была отправлена только этому покупателю и посторонние лица к ней доступа не имели?
                                                        +1
                                                        Наверняка почтовому служащему не известен отправленный код, он только вводит тот, что ему назвал клиент. Если код верный, система должна ему дать добро на вручение посылки. Если ты подобрал код с двух попыток, то ты везучий чел, можешь забрать посылку себе.
                                                          +2
                                                          Наверняка почтовому служащему не известен отправленный код, он только вводит тот, что ему назвал клиент.
                                                          Да, верно, это страхует саму почту от мошенничества непосредственно служащего.
                                                          Но никак не страхует от претензии со стороны клиента, т.к. вся ситуация с кодом основывается исключительно на словах ответственной организации, а не объективных доказательствах.
                                                            0
                                                            У суда нет оснований не доверять экспертному заключению ФГУП “Почта России” ;)
                                                  0
                                                  В случае почты – это так называемая “простая электронная подпись”, которая используется по письменному заявлению клиента. В магазине – сама карта удостоверяет право использовать деньги со счёта.
                                                    0
                                                    Но при этом на самой карте написано, что она может быть использована только тем, кому выдана. Однако по картам густо и часто оплачивают абсолютно левые люди. Тут, в принципе, можно обязать проверять паспорт при оплате картой. Рациональное звено в этом есть, потому что ВОЗМОЖНО будет меньше случаев воровства карт, но с другой стороны это будет дурдом. Либо все тупо вернутся на налик, либо будут лютые очереди, пока каждого проверят.
                                                      0
                                                      Это проблема исключительно владельца именной банковской карты, что он её нелегально кому-то передал. Если начать разбираться, то за последствия такой оплаты никто не отвечает.
                                  +2

                                  Интересно что почти все они под камерами в торговых точках. МВД может неплохо так поднять статистику раскрываемости мелких преступлений… Хотя маски в торговых центрах...

                                    0
                                    Что бы им подняли план на следующий месяц?
                                  +1

                                  Они не забирали посылки значит кража не у пользователей.
                                  Проблемы с возвратами и скоростью выдачи по идее.
                                  Банк просто отменит платежи (если это не сделает сам продавец) хотя нет не просто ещё и может сделать так что продавцу станет очень доброго принимать платежи.

                                  +13
                                  А это точно сторонняя атака, а не технический косяк самой компании?
                                    +4
                                    Либо огромная дыра в безопасности, а «хацкеры» случайно её нашли и поигрались.
                                      +6
                                      Ну хоть что-то у них в безопасности.
                                    +35

                                    День открытых дверей удался)

                                    • НЛО прилетело и опубликовало эту надпись здесь
                                      +10

                                      Вот так сделаешь умный дом, а он вдруг возьмёт и начнёт открывать все двери

                                        0

                                        Сюжет фильма Thirteen Ghosts в антураже киберпанка.

                                          +6
                                          Хуже, если он в какой-то момент откажется их открывать. Помните известную сцену из «Одиссеи 2001»?
                                            0
                                            Или просто откажется вас выпускать. Ты чего пошел? Карантин я сказал, сидеть дома! См. старенький рассказ, который публиковали в одном из номеров журнала Юнный Техник lib.ru/INOFANT/SILVERBERG/rob.txt
                                              0

                                              "Для того, чтобы открыть дверь дома, переведите сумму аналогичную 3.5 Биткойн на кошелек XXX… (и, наконец, смените пинкод со стандартного 0000 на более сложный)"

                                                +1
                                                Это уже было в Убике Филиппа Дика.
                                            +3
                                            Мне это напоминает ситуацию когда сеть регионального сотового оператора падает и валят все на хакеров, а мои инсайдеры до этого за полгода прогнозировали падение.
                                              +3
                                              Да, это типичный сценарий, когда собственное разгильдяйство и непрофессионализм, сваливают на неких загадочных хакеров.
                                              +2
                                              Надеюсь выпустят честный анализ произошедшего, как было в случае Gitlab'a. Вполне вероятна возможность, что инженер, тестируя новое оборудование, случайно выполнил команду открытия ячеек на боевом сервере.
                                                +13

                                                Или поисковый краулер забрел в админку и начал переходить там по всем ссылкам

                                                +1
                                                По скраму, наверное, работали.
                                                  0
                                                  Подробности атаки компания не пояснила.

                                                  А ведь это самое интересное!
                                                    +1
                                                    Сэкономили на разработчиках и ИТ-безопасниках, ну что ж бывает. Интересно вынесут ли урок.
                                                      +3
                                                      Добавят в условия использования пункт, освобождающий от ответственности :)
                                                        0
                                                        Все ошибаются. Глобальный такой косяк совершенно не значит что сэкономили.
                                                        0
                                                        То-есть 29 ноября в воскресенье у них был юбилей установки первого пакомата, а через неделю в пятницу у них произошёл глобальный сбой? И они точно не праздновали этот юбилей в пятницу и точно не использовали при этом один из тестовых пакоматов и точно не посылали на него команду на открытие всех дверей и точно не перепутали тестовую и продакшен среды?
                                                          0
                                                          Как это вообще возможно?
                                                          Незашифрованный трафик? Кривая авторизация?

                                                          Пахнет касяком компании, забившей на элементарные правила безопасности.
                                                            0
                                                            Пахнет дымом косяка, забитого и раскуренного компанией в честь юбилея установки первого постамата.
                                                            0
                                                            Наверняка хацкеры получили доступ к удаленному доступу.
                                                              0
                                                              Тэк, 49.000 коробок «пострадали», но, при этом, украдено всего «не более 1000»? Это что же, веру в человечество можно восстанавливать из бэкапа? Ого.
                                                                0
                                                                Никакого восстановления. Народ просто слишком медленно соображает ((
                                                                0

                                                                Действительно, странно это. Неужели неуловимые хакеры смогли пробраться сквозь тернии VPN? Или всё-таки VPN там и не было?

                                                                  +4
                                                                  История забавная, только что стал жертвой их скорого ремонта постаматов. Как и все пользователи получил сообщение о неисправности постамата в день взлома. Но пару дней назад было по пути и зашел посмотреть. Думал починили а смс не отправили. Меня встретила в мониторе интерфейс Windows 10 с возможностью ковыряться в её настройках. Доступ к сети был отключен. Сегодня пришла смс о том, что постомат работает и можно забрать заказ. Когда я пришел к нему меня в этот раз встречало окно авторизации с двумя пользователями «Administrator» и «admin» оба просили ввода пароля. Попытки дозвонится по телефону написанном на постамате увенчались провалом. Но как человек, знающий что 95% сбоев в ПО чинится перезагрузкой устройства. Я отправил на перезагрузку аппарат. После перезагрузки аппарат начал логиниться под «Administrator» и открыл мне знакомый рабочий стол с двумя файлами «aspnet_setup» и второй реестровый файл название которого вызвало улыбку «f*ckingshit». Так как моей задачей было забрать посылку а не разбираться с устройством, в трее я увидел автозапуском незнакомый значок и щелкнул его, в следствии чего меня встретило окно системы с рыжими кнопками из интересных доступных элементов я отметил «Управление ячейками» и «Рабочий режим». Было кратковременное желание полезть в дебри устройства, но здравый смысл подсказал запустить устройство в «Рабочий режим». В итоге зашуршали устройства картоприемник и приемник налички и через какое то время прожав несколько alert окон получилось запустить. Заказ забрал, как с обычного устройства.
                                                                  Сейчас интересно содержимое файла с интересным названием и хоть доступ к розетке был в открытом доступе, можно было бы перезагрузить устройство и изучить его. Но думаю с таким отношением к своим устройствам должны разбираться сотрудники компании
                                                                    0
                                                                    Скриншот бы ещё сюда добавить…
                                                                    0
                                                                    После перезагрузки аппарат начал логиниться под «Administrator» и открыл мне знакомый рабочий стол с двумя файлами «aspnet_setup» и второй реестровый файл название которого вызвало улыбку «f*ckingshit».

                                                                    Ну что, ждем новости об еще одной хакерской атаке отдельных постоматов.

                                                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                  Самое читаемое