AirBnb халатно относится к своим акаунтам

    Привет, читатели Хабра! Хочу описать ситуацию, которая произошла со мной и сервисом AirBnb пару дней назад.

    Если вкратце: С моего аккаунта совершили одно успешное бронирование и попытались совершить еще 3 без каких либо подтверждений с моей стороны, далее отвязали номер телефона и удалили мой аккаунт без каких либо подтверждений. И как без наличия аккаунта связаться с AirBnb совершенно невозможно.

    image


    Я довольно давно пользуюсь сервисом AirBnb (c 2015 года). За это время я пользовался им много раз в разных местах: в основном Европа и немного Австралия и Россия. Также за это время я заработал хорошую репутацию на основе отзывов людей у кого я жил.

    В акаунт AirBnb я вхожу через Google. Если честно не помню есть ли у меня вход по логину паролю, но скорее всего нет.

    22 мая 2019 года примерно в 20:18 (московское время) я получил е-мейл о том, что я успешно зарезервировал апартаменты в Бухаресте, Румыния. Хотя я этого не совершал! Reservation code: HMAB4W8NBN. Receipt ID: RC29QSES9Q. Оплата прошла успешно (1 ночь, примерно 130 евро). Оплата прошла с одной моей дебетовой карты (у меня их там две прикреплено).

    image

    подтверждение

    image

    Далее мне пришло еще 3 емейла, что попытались оплатить еще 3 апартамента, но с другой карты, безуспешно (так как на той карте у меня не было денег).

    image
    image
    image

    Я не получил никаких подтверждений по SMS илим емейл о том, чтобы подтвердить покупку. Никаких SMS от банка (Raiffeisen). Позже я позвонил в банк и мне сказали, что SMS подтверждение покупок требуется не от всех, то есть с точки зрения банка это норм ситуация. Хотя как по мне это жесть.

    Через еще пару минут я получил 4 одинаковых емейла со следующим содержанием:
    Your Airbnb account was canceled

    When you cancel your account, your profile and any listings will will no longer appear on the site. Any reservations you have made as a host or a guest will automatically be canceled. You can contact us anytime to reopen a canceled account.
    image

    Все это дело я обнаружил только спустя пару часов после совершения, так как не было доступа к почте. После обнаружения, я попытался войти в мой акаунт (через google), но AirBnb написал мне “No account exists for that Google login. Try signing up instead.”. Попытка сбросить пароль выдавала ту же ошибку.

    image

    Тогда я полез смотреть информацию по поддержке (емейл или телефон). Е-мейл на сайте AirBnb вообще нет! Я нашел только один terms@airbnb.com. На него написал свою ситуацию, но не особо думаю, что мне что-то придет в ответ.

    Я также нашел телефон службы поддержки по разным странам. Позвонил в несколько стран (Россия, США). Везде стоит автоответчик, который просит ввести подтвержденный привязаный к акаунту номер телефона. Я его ввожу, но мне говорит, что акаунт с таким телефоном не найден. Пытался ввести номер несколько раз, разными способами (+7…, 8…, без 8 и тд) – тот же самый ответ.

    В общем, в такой ситуации я совершенно не понимаю как поступать. Обращаться напрямую в суд разве что. В общем если кто-то знает как достучаться до AirBnb в такой ситуации – прошу помочь.

    UPDATE:

    Оказывается таких как я не мало: twitter.com/search?q=airbnbhelp&src=typd

    Также есть некоторые подсказки здесь: www.reddit.com/r/AirBnB/comments/bs1r0f/violation_on_airbnb_somebody_logged_in_my_account

    UPDATE UPDATE :

    Описал ситуацию в твиттер @airbnbhelp в директ. Ответили через несколько часов, тут же прислали на емейл ссылку на смену пароля и активацию акаунта. Все мошеннические резервирования отменили и сейчас в процессе возврата денег. Правда я заблокировал карту, но сходил в банк и там обещают все разрулить. В AirBnb сказали что деньги вернут даже не счет заблокированной карты, так что возможно, что проблем от блокировки не будет. Так что к AirBnb притензий в этом счете нет, все оперативно.

    Но факт остается фактом, чтобы понять куда писать пришлось состряпать статью в reddit. Почему они не могут написать у себя в хелпе что если что писать в твитер — не понятно. Также не понятно почему у них нет(не сработала) двухфакторной аутентификации (либо я об этом не знаю?).
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 41

      +8
      то есть с точки зрения банка это норм ситуация. Хотя как по мне это жесть.

      Как ни странно но это реально норм ситуация, 3ds за бугром далеко не все используют, вам надо оспорить эти транзакции в банке через стандартную процедуру
      ===
      Вообще у вас просто угнали аккаунт, его заблокировали… целая статья на хабре?
        +1
        Статья о том, что это непонятно как оспорить и что у AirBnb нет возможности с ними связаться если у тебя нет акаунта.
        И как в банке такую транзакцию оспорить?
          +3
          Оспорить можно любую транзакцию, даже если вы купили пивка, независимо от того, какой у вас аккаунт в этом ночнике, платиновый постоянного клиента или нет вообще. Тем более многие платежи в сервисах бронирования висят как hold где-то дольше, где-то меньше.
            0
            Спасибо, попробую
            +1
            У меня был относительно близкая ситуация — гостиница с букинга сняла деньги, а после отмены брони не вернула. Букинг сказал «мы деньги вернём, но вы сперва дайте нам бумажку от банка, что он вам не хочет деньги возвращать».

            Пришел в банк (сбер), тыкнул кнопочку на терминале «другие проблемы» и написал заявление у специально обученной девочки. Заблокировав карту и всё такое. В качестве подтверждения приложил письмо об отмене брони в букинге и письмо от букинга, что такая-то гостиница замечена в мошенничестве. Сбер некоторое время кормил смсками «срок рассмотрения передвигается ещё на неделю-две-три», но через пару месяцев деньги вернулись.

              0

              Это выбор поодавца в данном случае аэйрбнб, отключить зд секур, чтобы может увеличить конверсию или может комиссия меньше, но и риск для него получить чарджбек, т.е. отмену трагзакции. Так что звоните вьсвой банк и смело просите отменить транзакцию.

            +4
            Я конечно понимаю экономию типа: «женщину убрали — автомат поставили», но бесит это жутко. У нас Yota были такими одними из первых. Сервис всеми силами пытается отделаться от клиента и от его проблем, снизойти к общению — это не их.

            Здесь же поругаю все эти твиттеры, инстаграмы. Ну нет у меня там аккаунта. Почему я не могу нормально зайти на сайт и посмотреть то, что я хочу «без регистрации и смс». С главной страницы это сделать в принципе невозможно. Понятно, что надо знать «правильный» линк, но для этого нужны дополнительные усилия с моей стороны. Бесит. Впрочем вы это и без меня знаете.
              –2
              Здравствуйте! Расстроены вашим комментарием — хотелось бы подробнее разобраться, с чем он конкретно связан и постараться помочь вам.

              Вы можете рассказать про возникающие сложности в личке нашей группы ВК (vk.me/yota), либо обратиться к нам через наш сайт www.yota.ru/support/mobile#chat — всё внимательно изучим и постараемся помочь.
                0
                Вот с Yota — странно как то. Проблем с общением с ними — не было
                — чат на сайте (чтобы до чата добраться с главной — мне 2 клика потребовалось достаточно логичных)
                — чат в приложении (если у вас смартфон или планшет с их симкой — у вас вероятно и так это приложение есть)
                — ВК (если там есть аккаунт)
                — для B2B — еще и e-mail
                (У Тиньков мобайл правда в этом плане все еще лучше...)

                У меня из сотовых этом плане скорее претензии к:
                — МТС (единственный относительно вменяемый удаленный канал общения… ВК(!) и с тормоза с ответом в несколько часов — норма)
                — Мегафон (только тикеты в ЛК, в котором еще и фильтры есть какие то странные)
                — Билайн (формально и чат и e-mail а реально — напишете e-mail и вам ответят через несколько дней, отпиской)
                  0

                  С Убером (Uber, может, они читают) та же история. Саппорта как такового нет, если водитель отменил поездку — пожаловаться нельзя вообще. На телефоне живые автоответчики.

                    0
                    Здравствуйте! Мы всегда готовы помочь — вы можете написать ваш вопрос на эту почту blogs@support-uber.com.
                  0
                  Связаться с AirBnb можно с помощью своего друга/знакомого, который тоже пользуется AirBnb
                    +2
                    А может президенту сразу обращаться за помощью?
                      +1
                      В Роскомнадзор же.
                    –2
                    Надо сгонять в Румынию и пытать у кого гость купил дешевую бронь! Очевидно же!
                      0
                      Места не существует скорее всего, просто кто-то обналил деньги с чужой карты (за счет автора или за счет airbnb)
                        0
                        Ого, даже так. Я думал чтото вроде угона аккаунтов («купи 100500 игр для PS за 200 рублей»)
                          0
                          Ну там на самом деле несколько способов есть, но если говорить конкретно про этот — думаю что так. Расписывать подробно не буду, во избежание.
                      +1
                      А можно же создать новый аккаунт и написать в поддержку? Они вообще быстро отвечают, несколько часов.
                      • НЛО прилетело и опубликовало эту надпись здесь
                          0
                          Здесь скорее поднят вопрос о том, что связаться с AirBnb, в случае если что-то пошло не так, не имея там аккаунта — проблематично.
                            –2
                            1. Точно нет, проверял. Мне бы пришло сообщение что кто-то вошел в мой акаунт с другого девайса.

                            В любом случае такие суммы надо подтверждать по SMS. Я совершенно не понимаю почему AirBnb этого не делает. Это же не 100 рублей. Мне в некоторых сервисах за 500 рублей уже приходит запрос на подтверждениеч ечрез SMS. А еще хорошо было бы оповещать, что в ваш акаут был произведен вход.

                            Они хранят данные пользователей, номера карт и даже CVV код! Это вообще ппц у них получается никакой безопасности нет.
                              +7
                              В любом случае такие суммы надо подтверждать по SMS.
                              Правила платёжных систем (VISA, Mastercard) этого не требуют. 3DSecure (частной реализацией которой является «код из SMS») лишь перекладывает риски фрода. Он создан вовсе не для того, чтобы вам было безопаснее.

                              Если фрод-транзакция подтверждена 3DSecure, то убыток несёт владелец карты (в этом случае ничего оспорить не выйдет — если пользователь прошляпил не только карту, но и симку, то считается, что он сам дурак). Если же магазин/сервис готов принимать оплату без 3DSecure, то убытки от фрода несёт он (как и произойдёт в данном случае: банк вернёт вам деньги, а убыток понесёт AirBnb).

                              Использование 3DSecure снижает конверсию, поэтому бизнес сам решает, стоит ли нести дополнительные риски или нет.

                              Они хранят данные пользователей, номера карт и даже CVV код!
                              Перечень данных, которые можно хранить, определен стандартом PCI DSS.
                                +1
                                Спасибо за понятный и отличный ответ!!!
                                  0
                                  Если фрод-транзакция подтверждена 3DSecure, то убыток несёт владелец карты (в этом случае ничего оспорить не выйдет — если пользователь прошляпил не только карту, но и симку, то считается, что он сам дурак). Если же магазин/сервис готов принимать оплату без 3DSecure, то убытки от фрода несёт он (как и произойдёт в данном случае: банк вернёт вам деньги, а убыток понесёт AirBnb).

                                  Это где такое написано?

                                    0
                                    Например, тут.

                                    Банк поддерживает, а мерчант нет — убытки ложатся на мерчанта.
                                    Мерчант поддерживает, а банк нет — убыток банку.
                                    А если уж у пользователя упёрли и SIM, и банковскую карту, то я не знаю, как банк будет определять, реально ли это упёрли или пользователь говорит неправду.
                                      +1

                                      Сразу говорю, не буду ввязываться в бесполезные дискуссии, просто оставлю это здесь.


                                      1. Утверждения "… то убыток несёт владелец карты" из первого и "убыток банку" из второго не противоречат друг другу только потому, что все ваши карты принадлежат банкам, которые их выпустили. Не смотря на это, вы вводите в заблуждение уйму людей, которые не помнят об этом факте.


                                      2. Куча нюансов: убыток банку? Убыток покупателю? Убыток банку, обслуживающему продавца? Очевидно, ситуации бывают разные и вряд ли (100% нет) ваше правило универсально.


                                      3. Сам источник информации ни на что не ссылается. Проверить, что там правда, а что — нет невозможно. На википедии, вот, более аккуратно написано (ключевые слова "sometimes" и "difficult"):


                                        Legal conditions applied to the 3-D Secure service are sometimes worded in a way that makes it difficult for the cardholder to escape liability from fraudulent "cardholder not present" transactions.

                                      4. Соответственно, никто просто так не может переложить ответственность на клиента за снятые деньги. SMS-коды крадут, к примеру. Кто здесь виноват и кто понесёт убытки определяется конкретной юрисдикцией, а вы тут сплеча назначаете.


                                  0

                                  Безопасности… ну это скорее особенности работы платежных систем и банков в США, там проще отменить транзакцию чем мучить клиента смсками и прочей банковской чушью… конкуренция как никак… это в РФ так не принято и банк вас ещё измотает рассмотрением отмены (180 дней вродебы если им что-то не понравится)
                                  Это ещё ничего что только 3ds нет, некоторым мерчантам можно операции тупо по номеру проводить без наличия карты и cvv, прям по номеру карты… точно отели так могут и постоянно пользуются

                                    +1
                                    180 дней вродебы если им что-то не понравится
                                    180 дней — это период после совершения транзакции, во время которого пользователь может оспорить её. Период этот устанавливает не банк, а платёжная система.
                                      0
                                      есть еще срок рассмотрения, когда вы оспариваете транзакцию, он тоже немаленький. и наши банки вполне могут его использовать полностью
                                  +1
                                  Очень странно, что в обоих случаях не сработала 2FA. AirBnb запрашивает код через SMS при входе с незнакомого устройства. А 2FA в Гугле просто обязана быть включена, если пользователь её не включил — ССЗБ.
                                    0
                                    Согласен. На AirBnb я не заходил уже почти год. Если честно не помню приходило мне смс раньше или нет, но телефон там точно был прописан.

                                    У меня долго не была включена 2FA в гугле потому что мне не доходили смс на мой номер телефона
                                      +1
                                      Можно включить 2FA и без смсок — через OTP софт(Google Authenticator, WinAuth и т.д.)
                                        +1
                                        Если телефон c гуглосервисами, то можно включить даже и без OTP — через пуши.

                                        А ещё можно использовать смартфон как Bluetooth-ключ, но нужен совместимый браузер с поддержкой U2F.
                                  0
                                  1. При любых проблемах на левые списания с карты — блокировать, затем жаловаться в банк, что вы — это не вы. Если не заблокировать сразу, как списание заметите, то могут задать вопрос «а что это вы не заблокировали, может вы — это всё же вы?»

                                  2. Связаться — разве что завести новый аккаунт и пройти там в раздел поддержки. После долгого кликанья мышью там будут кнопки «написать» (с формой ввода) и «позвонить» с парой номеров телефона.
                                    0
                                    Даже если «вы — это всё же вы», деньги можно вернуть. У меня было так:
                                    Я купил две недели в отеле через какой-то сервис типа HappyBeds, они сняли деньги с Виза, всё как обычно, я — это я. Приезжаю в отель, а они мне говорят: извините, но HappyBeds банкрот и нам ничего не заплатил, так что платите сами или до свидания. Ок, заплатил. Звоню в банк, говорю так и так, заплатил я HappyBeds, я сам, а они услуги не предоставили, мошенники, верните деньги. Ноу проблем, говорит банк, надо было заполнить какую-то бумажку от Виза и всё. Через день-два звонок из банка: Виза там ещё что-то хочет рассматривать немного, но мы вам деньги уже вернули, а то вдруг вам кушать нечего, для нас всё ясно.
                                    Так что для отзыва платежа не обязательно ничего сразу блокировать, главное мочь нормально объяснить почему.
                                      0
                                      У вас было не левое списание, у вас была непредоставленная услуга. Тут можно не блокировать — данные карты не уходили.
                                      А когда жалоба на «где-то там без моей авторизации списали» — то здесь уже ушли данные карты и, если не заблокировать, могут посчитать такое поведение подозрительным.
                                    +2
                                    С развитием электронных платежей и услуг ценность персональных данных возрастает ( особенно с любовью бюрократии в нашей стране к тому что ты сам должен доказать всеми способами что ты не олень и тут действуют мошенники, тысячи справок заявлений и т.п.)
                                    А если почитать новости с хабра становиться понятно что разработчики не особо и стремятся сохранить твои персональные данные (храня их не защифрованными или передают по открытым каналам связи).
                                    Так что нужно пользователям заботиться о себе, не привязывать карты ко всем сервисам подряд и т.п.
                                    Комфорт расслабляет, я стараюсь использовать отдельную карту для привязки на которой нет овердрафта и нет большого остатка, перекидывая между счетами при необходимости покупки с неё.
                                    Да конечно же можно оспорить транзакции блокировать карты разбираться, да и банк сам может заблокировать карту при подозрительной покупке через интернет (был опыт) можно попутно получить много проблем особенно в поездке де нет офиса банка.
                                      +2
                                      Главный урок — как можно в меньшем количестве подобных систем оставлять привязанной свою карту. Лучше я каждый раз буду ее вводить руками, чем потом думать, как же это могло произойти.
                                        0
                                        Только надо очень внимательно следить за этим. А то поставив/не поставив галочку — хоп, карточка уже сохранена. И у всех по-разному надо эти галочки ставить.
                                        0
                                        Попробуйте им написать, Airbnb Payments UK ltd — сторона с которой вступаете в договорные отношения, ваш оператор платежных данных
                                        legal.payments@airbnb.com

                                        Так же можете прочитать пункт 17 «Отказ от ответственности» и 18 «Ответственность» в «Условия предоставления платежных услуг»

                                        Пункт 6.4 Хранение и удаления данных из «Политики конфиденциальности»
                                        * На Платформе Airbnb реализована система защиты от случайной или умышленной порчи или утери данных, поэтому резервные копии ваших персональных данных будут удалены с определенной задержкой.

                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                        Самое читаемое