Официальный интернет-магазин Panasonic пересылает пароль в открытом виде и в копию 3 адресатам

    По работе пришел партнерский промокод на скидку. Зарегистрировался на Panasonic eplaza (официальный интернет-магазин «Панасоника» на их домене).

    Пароль в письме пришел в открытом виде и скрытой копией (что покажет не каждый клиент) следующим людям: Алексей Братушка (seomasterweb@gmail.com), Ольга Панаетова (Olga.Panaetova@ru.panasonic.com) и Вадим Вихров (vadim.vikhrov@ru.panasonic.com). Зачем этим людям пароли: вопрос к службе безопасности. А вариантов использования при правильных руках — куча: таргетированная база адресов + логин с паролем, который позволяет парсить личные кабинеты и историю покупок. Словарная база паролей. Бери и рассылай / продавай.

    При этом при регистрации собирают данные про дату рождения, доход и т. д. — хоть сейчас иди в банк, если кто-то добросовестно заполнит. Партнеров почту просят указывать корпоративную: многие в интернет-магазине могут указать тот же пароль, что и на рабочую почту (простые пользователи укажут, разумеется, свою обычную почту).

    Будьте осторожны.



    Update: прекрасно, просто прекрасно. Захотите сменить пароль? Вам придет письмо на ящик со статусом о смене пароля, копией этим же 3 людям и, внимание, ссылкой в конце, по которой пароль можно сменить еще раз (тег «сарказм»: в помощь SEO, не иначе, раз пароль при смене не пишут).


    Хранение ООО «Панасоник Рус» персональных данных Пользователей
    ООО «Панасоник Рус» хранит персональные данные Пользователей на защищенном сервере на территории РФ
    ООО «Панасоник Рус» предпринимает все предусмотренные Федеральным законом № 152-ФЗ «О персональных данных» правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий, в отношении персональных данных. В то же время Пользователь информирован, что предпринимаемые меры не гарантируют полной защиты веб-сайтов, передачи данных в Интернете, компьютерных систем или беспроводных подключений.
    При регистрации Пользователь получает (назначает) пароль для доступа к некоторым разделам сайта (Личный кабинет), ООО «Панасоник Рус» гарантирует его конфиденциальность. Со своей стороны Пользователь обязуется не сообщать пароль третьим лицам.


    Update 2:


    Update 3 (17:41) Официальный комментарий представителей компании Panasonic:
    13 октября 2014 года в ряде интернет-ресурсов была опубликована информация, касающаяся возможной утечки данных пользователей интернет-магазина Panasonic ePlaza.
    Администрация интернет-магазина в курсе обнаруженной пользователями проблемы и уже активно принимает меры по ее устранению. В настоящее время заблокирована возможность несанкционированного доступа к персональной информации пользователей нашего интернет-магазина. В ближайшее время всем зарегистрированным пользователям будет разослано сообщение с инструкциями по смене пароля.
    Поделиться публикацией

    Комментарии 46

      +18
      Я, конечно, извиняюсь, но как вы увидели то, что написано в поле Blind Carbon Copy?
      Оно предназначно лишь для обработки в почтовом сервере, такого заголовка в письмах быть не должно.
        +12
        А еще я вижу всех друзей, кто заходит к вам на стену :-).

        Подозреваю, какой-нибудь плохо сформированный вручную заголовок дал такой эффект. Вот хедеры, если кто-то в теме: pastebin.com/tUyB0j1w
          +2
          Я думаю, что кто-то там либо решил подшутить над этими товарищами или насолить им.
          Заголовок BCC не должен быть по стандарту в письме ни под каким соусом, только в адресах передаваемых RCPT TO серверу.

          Так что панаслоник что-то нечистое творит :)
            +4
            Это не правда.
            «BCC:» может по RFC содержаться в письме (там довольно расплывчатая формулировка что адреса указанные в этом заголовке не могут быть раскрыты другим получателям), но, безусловно, только если вы в этом BCC как получатель. Причем если в BCC несколько получаетелей оттуда должны быть убраны все кроме вас.
            Судя по гуглу такой странный эффект как у автора может дать конец строки, разделяющий заголовки, который не воспринят почтовым сервером как конец строки. Например в скрипте формирующейм e-mail используется "\n", а почтовый сервер разделяет строки по "\r\n". В итоге для него все эти заголовки — одна длинная строка, и он просто отправит его как текст от «MAIL FROM:» к «RCPT TO:» указаных при хэндшейке. «BCC:» конечно эти люди при этом не получат, но остается вопрос, с чего это они вообще скриптом туда вставлены на получение?..
              +31
              Да, желание насолить многое может объяснить. Чисто потроллить товарищей кривым заголовком — забавный подход.

              Вспомнилась по ассоциации история:

              Один из чуваков с работы жаловался, что его ложки постепенно исчезают из столовой фирмы. Он привез уже 6 штук, из которых осталось только 2. Остальные сотрудники придумали план:

              Каждый, кто слал ему email, должен был добавить внизу сообщения, белым текстом (то есть невидимым, пока его специально не подсветить): “ЛОЖКА ЛОЖКА ЛОЖКА ЛОЖКА ЛОЖКА ЛОЖКА”.

              Мы занимались этим несколько недель (у него был GMAIL аккаунт) и он постепенно начал сходить с ума: каждый веб-сайт, на который он заходил, показывал ему объявления о продаже ложек и столовых приборов! Он думал, что Google начал читать его мысли… ©
                +3
                Соцсети сделали людей ленивее. Теперь можно свести людей с ума без посторонней помощи.
                  0
                  А Google что читает почту юзеров?
                    0
                    Да (робот читает), это отключаемая опция.
                0
                Вам понравится апдейт в конце статьи.
                  0
                  Небось разработку этого чудо-магазина они аутсорсили каким-нибудь вундеркиндам-студентам.
                  Либо чем-то обидели разработчиков и они им пасхальных яиц оставили :)
              0
              Поле BCC обрабатывается (ну или как в данном случае не обрабатывается или обрабатывается неправильно) на почтовом сервере. Возьмусь предположить, что либо испольузется какой-то исключительно убогий почтовый сервер написанный на коленке безграмотным школьником, либо админ настолько криворук, что умудрился сломать то, что обычно работает само «из коробки». А может быть и всё сразу.
                0
                Ну, там не совсем так — если корявый почтовый клиент в письмо добавит заголовок BCC вместо того, чтобы только обозначить получателей в RCPT TO, то сервер этот заголовок сохранит скорее всего.
                  +2
                  Судя по "(SecurityGateway 3.0.2)" там всё очень, очень, очень плохо.
                    0
                    Они еще и в письме после смены пароля присылают еще одну ссылку на смену пароля (см. апдейт в конце статьи). Письмо уходит в копию тем же людям.
                  +3
                  Поддерживаю и делаю ставку на криворукого админа. Например, ему поступила задача: «пусть все письма копируются на Олю, Вадика и Алёшу(нашего SEO директора). Ну и сделай так, чтобы пользователи ни о чем не подозревали конечно же.». Вот админ и сделал как умел.
              • НЛО прилетело и опубликовало эту надпись здесь
                  +1
                  Забыли слово «достойных людей»
                  +6
                  Не вполне понятно откуда у вас во входящем сообщении поле BCC — оно ведь должно удаляться, копия-то недаром скрытая
                    –1
                    Заменят cc на bcc, делов-то.

                    UPD: А, они уже — не обратил внимания :)
                      +7
                      Это на случай, если вы пароль забыли!
                        +20
                        Это скрытая реклама Эпла — их новая ОС «три десятки» Йосемити настолько крута, что показывает указанных в BCC адресатов!
                        • НЛО прилетело и опубликовало эту надпись здесь
                            –18
                            Зато их бытовая техника и электроника как были, так и остаются лучшими по соотношению «цена-качество». Сравните какую-ниюудь бритву или, там, фен от Панаса и от Брауна с Филипсом — ничего, кроме ухмылки больше продукция последних у вас не вызовет. С дизайном/стилем, да, есть некие проблемы, впрочем, довольно характерные для японских брендов.
                              0
                              У меня на даче телевизор panasonic, телефон на чердаке, оба из конца 80-х начала 90-х.
                              А вообще, почти у каждой фирмы есть и плохая и хорошая техника.
                              Мультиварка одной марки, микроволновка другогой, холодильник так для меня вообще только LG, и т.д.
                              Я выбираю технику (ну кроме холодильника) по качеству, внешнему соответствию интерьера, удобству пользовании и полезности площадей.

                              P.S.
                              Магазин на bitrix, подробные комментарии, нормальная структура кода, аж читать приятно.
                                –7
                                Точно.

                                А мне вот что делать: всякий раз, как брал технику от Панаса, попадалась удачная. Нет, не вся бытовая техника дома от них, но что от них — то нравится. При этом в Панасе не работаю :), и покупаю в магазине, а не получают проплаченную с их главного секретного склада. Так что, видимо, наши с вами модели потребления совпадают

                                Но минусы, как ни пародоксально, мне падают со скоростью, будто меня в тайные агенты Панаса на Хабре записали. И будто я тут с одной целью — обелить контору и доказать тихой сапой, что пароль в открытом виде и с кучай ящиков в копии — это вообще не проблема ))

                                P.S. Пароли по открытой почте — это вообще немного не сильно надежно. Еще менее умно их копиями отсылать кому угодно. Нужно тебе логировать что угодно — делай это редко, тихо, и смотри, что делаешь, я так понимаю. Да, и отключай логирование при первой возможности.
                            +1
                            > ссылкой в конце, по которой пароль можно сменить еще раз

                            Не переживайте, потом спишетесь с ними, они сменят. Сарказм.
                              –2
                              Либо они вас прочитали, либо одно из двух. :)
                              Никаких bcc в заголовках.

                              Received: from mxfront7h.mail.yandex.net ([127.0.0.1])
                              by mxfront7h.mail.yandex.net with LMTP id 9QrOxH8Z
                              for <somename@yandex.ru>; Tue, 14 Oct 2014 07:09:26 +0400
                              Received: from sg.panasonic.ru (sg.panasonic.ru [37.16.84.10])
                              by mxfront7h.mail.yandex.net (nwsmtp/Yandex) with ESMTP id cPrhsLPsS8-9PF8ArdB;
                              Tue, 14 Oct 2014 07:09:25 +0400
                              X-Yandex-Front: mxfront7h.mail.yandex.net
                              X-Yandex-TimeMark: 1413256165
                              Message-Id: <20141014070926.9PF8ArdB@mxfront7h.mail.yandex.net>
                              To: undisclosed-recipients:;
                              X-Yandex-Uniq: abb03d7f-5f56-40ed-b51b-bcf40104caa9
                              X-Yandex-Spam: 1
                              Received: from sg.panasonic.ru ([37.16.84.29])
                              by panasoniceplaza.ru (ru.panasonic.com)
                              (SecurityGateway 3.0.2)
                              with SMTP id SG001245441.MSG
                              for <somename@yandex.ru>; Tue, 14 Oct 2014 07:09:31 +0400
                              Date: Tue, 14 Oct 2014 07:10:50 UT
                              Subject: =?utf-8?B?0KDQtdCz0LjRgdGC0YDQsNGG0LjRjyDQsiDQktC40YDRgtGD0LDQu9GM0L3QvtC8INC80LjRgNC1IHd3dy5wYW5hcw==?=
                              =?utf-8?B?b25pY2VwbGF6YS5ydQ==?=
                              From: admin@panasoniceplaza.ru
                              Reply-To: admin@panasoniceplaza.ru
                              X-Priority: 3 (Normal)
                              X-MID: 0.1 (14.10.2014 07:10:50)
                              X-EVENT_NAME: NEW_USER
                              Content-Type: text/html; charset=utf-8
                              Content-Transfer-Encoding: 8bit
                              Return-Path: ePlaza.Noreply@ru.panasonic.com
                              X-Yandex-Forward: 6f135aec3e7c7171e3276eb0180bb667
                                –2
                                panasoniceplaza — это вообще официальный Панас? А то у меня когда-то от их сайта сложилось ощущение, что это просто частный магазин, который старательно маскируется под официальный, и которого русский сайт Панаси тихо пиарит, поскольку своего как-то нет.

                                Просто домен такой… созвучный, но не тот. Почему-то Сони продает на sony.ru, или на store.sony.ru (грубо говоря), а тут не store.paasonic.ru (или .com), а так, что-то похожее.
                                  0
                                  eplaza.panasonic.ru у них реальный домен магазина.
                                  На panasoniceplaza.ru редирект. Да и контактные данные сразу в «панасоник рус» ведут.
                                    0
                                    да, официальный
                                    +2
                                    У вас другой набор хедеров, сравните с моим. Плюс, непонятен X-Yandex-Forward — у вас что ли форвард был с одного ящика на другой? Или, может, «Яндекс» скрывает bcc?

                                    Только что зарегистрировался на gmail еще раз — всё на месте.
                                      0
                                      у вас что ли форвард был с одного ящика на другой?

                                      Не было.

                                      Или, может, «Яндекс» скрывает bcc?

                                      Может. Похоже, что он это и делает.

                                      На другой адрес зарегистрировался — там пришло с bcc письмо.
                                    0
                                    Во всех таких крупных компаниях хватает костылей, все из-за неповоротливости гигантов.
                                      +1
                                      Странно, что всех волнует неправильная настройка почтового сервера, а не то, что ваш пароль в открытом виде уходит на почту нескольким третьим лицам. Это мало того что нарушает вашу приватность, так ещё и потенциально способ слить все данные о клиентах, если доступ к одному из почтовых ящиков будет получен каким либо «сторонним» человеком.
                                        +3
                                        Спасибо, кэп!
                                        • НЛО прилетело и опубликовало эту надпись здесь
                                            +1
                                            Дело не в заголовке: присутствовать он может, другое дело, что из него должны быть при отправке выпилены все адреса, кроме вашего. Плюс, всё зависит еще и от клиента: «Яндекс почта», например, не показывает людей в bcc (видимо, обрезает на стадии получения, на случай каких-либо ошибок); gmail показывает, всё что есть.
                                            • НЛО прилетело и опубликовало эту надпись здесь
                                          +3
                                          Времена такие, утечка паролей на гиктайм, неверная конфигурация почтового сервера на хабр.
                                          +5
                                          Похожая проблема была и у украинского Альфабанка, официальные обращения через сайт дублировались на сомнительный email
                                            +19
                                            Ничего, сейчас быстро пофиксят, и копии продолжат уходить тем трём людям, но уже без палева.
                                              0
                                              В виде Скрытой Копии )
                                              0
                                              Дофига сервисов пересылает пароль в открытом виде. Приходится на всякий случай стирать эти письма. А сегодня мне вон новый интернет-провайдер прислал смс с просьбой пополнить счет и моими логином и паролем.
                                              • НЛО прилетело и опубликовало эту надпись здесь

                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                              Самое читаемое