Комментарии 211
Не очень понятен эмоциональный заряд статьи, больше похожей на отзыв разгневанного покупателя в жалобной книге, чем на материал в Хабре.
Во-первых, а кого, собственно, обманули? Пользователи купили подписку. Официальную, не подделку. В чём их обман? В том, что они купили, условно говоря, литр молока не в фирменном магазине агрохолдинга, а у бабки на рынке, потому что у неё дешевле?
Во-вторых, а почему мошенники? Они никого не обманывали, а честно предоставляли покупателю именно то, за что он заплатил.
"Предатели-пособники", "сдал", "преступники", "банда"... Спасибо что хоть не хрюкающие подсвинки и не обыватели со стекающей по подбородку слюной.
А вообще - отличная история. И школьники, между прочим, молодцы (хорошая затравка, чтобы не только играть в игры, но и углубляться в ИТ) - пять в четверти по информатике они заслужили. Ну а скорый слив уязвимости и её последующий фикс - да, такое бывает. Надо было сразу договариваться, что, мол, мы все понимаем возможное снижение доходов в будущем, поэтому не наглеем и не режем курицу, несущую золотые яйца. Но - жизненного опыта не хватило, старшего товарища не нашлось (возможно, и хорошо! а то бы ещё сам их обманул), вот и развалилось. Ну что ж, будем надеяться, они не прожгут заработанное в момент, а инвестируют их во что-то, хотя бы в простейший депозит.
так в том то и дело, что, пользуясь Вашей аналогией, к пользователю, купившему молоко не в фирменном магазине, а у бабушки на рынке, пришли бандиты из агрохолдинга и молоко отобрали. Якобы оно куплено незаконно. Об этом и пост.
и молоко отобрали. Якобы оно куплено незаконно
Этой практике не один десяток лет. Например, если в онлайн-играх купить что-то за полцены у сомнительного персонажа, а потом окажется что это что-то продавец получил с помощью кардинга, то покупку у вас, скорее всего, заберут, когда владелец карты сделает чарджбек.
для этого в юриспруденции существует понятие Добросовестный приобретатель, он купил что-то, и лишь очень существенная разница в цене должна побудить в нем подозрение. А так как предметом покупки является по сути фетиш (виртуальный значок) - то и проверку покупатель у меня как частного ИТ-детектива в 100% случаев заказывать за 5 тысяч рублей не будет.
Другой вопрос - а что теряет Телеграмм - а ничего материального! Ну истекут эти подписки через 3,6,12 месяцев и потом наоборот часть клиентов заходят продлить виртуальное удовольствие уже за полную стоимость - это по сути продвижение. Часто крупные компании прощают таких обладателей лицензий, в случае приобретения продления или дают урезанную официальную регистрацию, что бы получить в обмен данные своих будущих клиентов.
лишь очень существенная разница в цене должна побудить в нем подозрение
Разница в цене - полдела. А вот факт массовой торговли виртуальным товаром кем-то, кто явно не имеет отношения к выпускающей их организации - мягко говоря, намекает.
Виртуальный товар по своей природе ничем не отличается от какого-либо другого/ примеров множество, достаточно зайти в Интернет, те же аккаунты, лицензии на ПО, да тот же безлимитный Интернет от МТС подключить к своему номеру, есть возможности, люди продают, в большинстве случаев Производитель подтверждает что такое возможно, иногда потом прикрывает форточку.
Вот производитель продает скин какой в игре, после нескольких перепродаж кто-то может его продать дешевле в разы.
Из реальной жизни я могу свой пример рассказать, что Кока-Колу мы покупали оптом в МЕТРО, так как сам Завод-производитель Кока-Колы никак не мог нам дать такую оптовую цену. Я уже не говорю о всяком сером/черном/фиолетовом в крапинку импорте, когда один и тот же Айфон в разных странах стоит совершенно разные деньги (одно время в РФ он стоил дешевле чем везде в мире).
Вот вы покупаете лицензии на 1С только у Производителя?!?! Тогда вы просто теряете до 50% реальных денег, которые при покупке у дружественного реселлера можете потратить к примеру на качественное образование своих детей. А купив тот же товар 1С на Авито или разных Форумах, вы сэкономите 80% цены (вот я недавно продавал КОРП лицензии 1С на десятки рабочих мест обанкротившейся компаний с надстройкой от ПервыйБит - которые ничем не отличаются, переоформление на другое ЮЛ, если оно нужно конечно нудный процесс с поддержкой 1С, но экономия 1 миллиона реальных рублей имеет место быть).
Внезапно есть исключения.
Например SecondLife и сдача "земли"(а по факту серверное пространство) в аренду кем попало вообщем то (причем с посторонними игроками еще и удобнее в этом случае, гибче условия). И всегда так было. (Но правда Linden Labs свое в данном случае — получит все равно, и "товар" для них не бесплатный).
Но это SecondLife, где и вывод в реал всегда был разрешен (с некоторого момента там добавилось что лучше(но не обязательно) через разработчиков и с каким-никаким но KYC но все равно)
Другой пример — у Litres'а есть API для продажи книг через посредников, документация открыта, коммерческие условия — нет. Озон вроде например их использует для продажи электронных книг но визуально не совсем очевидно причем тут Litres.
А уж например у Кинопоиска подписка Кинопоиск + Амедиатека — вот откуда пользователь может быть уверен что сама Амедиатека про это в курсе? Только потому что цены не супердешевые? Ну так годовые подписки бывают и всякие акции.
Что случится, если окажется, что он заплатил Кинопоиску за Амедиатеку, а Амедиатека ему потом скажет "сорян, Кинопоиск нам не платит, мы подписку терминируем"?
Разве не в Кинопоиск ему надо идти с претензией, что денег взяли, а сервис не обеспечили?
Мне кажется, это вопрос доверия именно к тому, кому платишь деньги. В вашем примере к Кинопоиску. Если к этому посреднику доверия нет - пофиг, насколько вы доверяете Амедиатеке. Что бы вы там себе ни думали, платите вы не ей.
Напрямую сталкивался с таким.
В этом случае, как мне объяснил следователь, деньги за продажу краденого приобщаются к делу, но после должны быть возвращены покупателю.
Покупатель здесь сообщник, т.к. сознательно шёл на приобретение товара на "чёрном рынке". Вот за это он и должен понести ответственность в виде лишения премимум подписки. Всё верно сделали разработчики - глупых людей, жаждущих бесплатный сыр научили уму на их собственном примере. Именно так и нужно поступать, чтобы тупость не плодилась.
пять в четверти по информатике они заслужили
Ну уж нет, всё же для получения данного бонуса обычно нужно продемонстрировать умение писать полезные заклинания на условном паскале или ещё как показать хард-скиллз, а в данном случае там на компьютерную тему по факту ничего нет. Можно по "введению в экономику" или как оно там называется 4 поставить за старания))
Я вообще не очень понимаю, почему в этой ситуации надо защищать пользователей, купивших что-то у левого продавца. Они сами решили, что обходить правила/законы это хорошая идея. А потом просто оказалась, что идея была так себе. Ну бывает. Однако и осуждать решивших купить премиум в обход стандартной процедуры у меня нет оснований.
Телеграм поступает в этой ситуации абсолютно правильно. По крайней мере в той части, в которой отзывает незаконно полученные премиумы. На счёт их отношения к скрипкидам - это их дело. Надо полагать, они это проигнорируют.
На счёт скрипткидов - эксплуатацию уязвимости не поддерживаю, но к обогащению претензий нет. Если такая претензия у кого-то и может быть, то только у Телеграма.
А вот автора статьи осуждаю в полной мере:
Подросток, открывший уязвимость, был среднестатистическим оболтусом
Прямое оскорбление. Бонусом дискриминация на основе возраста в тексте. Добро пожаловать в этот новый для вас, дивный мир. Совершение кем-то потенциально противоправных действий не означает индульгенцию.
покупкой скина в своей сладкой зависимости - игры PUBG
Попробуйте в следующий раз проявить чуть больше уважения к людям любящим игры. Здесь, на Хабре, достаточно людей, для которых игры не только хобби, но и профессиональная деятельность в том или ином виде.
Разошлите друзьям, опубликуйте на Дзене, Ютубе, закиньте блоггерам, в паблики Вк и Тг в предложенные новости.
О нет, дорогой @Disobedience, мы не твоя личная армия. Ты приходишь к нам, просишь что-то, но делаешь это без уважения. Просишь нас встать на защиту людей, которые не являются потерпевшими в чём либо. Более того, если я правильно понимаю посыл, ты просишь нас встать против единственной хоть как-то потерпевшей стороны, а именно Телеграма. Если я ошибся в последнем, то смысла ещё меньше. Это их проблема и лично я уверен, что они сами с этим в состоянии разобраться с этим.
Они сами решили, что обходить правила/законы это хорошая идея. А потом просто оказалась, что идея была так себе.Какие правила или закон нарушили сами пользователи?
Условия договора (оферты?), который описывает процесс покупки премиум-аккаунта. Я не юрист для более точной формулировки.
Премиум получили, деньги не заплатили.
Вот я украл из пятерочки сникерс и подарил/продал вам — какие условия оферты вы нарушили? Тем более, что дарение разрешено, а значит платить не обязательно чтобы являться владельцем такого акка.
Я не юрист для ответа на этот вопрос. Не мне разбираться в юридических документах Телеграма. Но я уверен, что они там достаточно точно описали условия.
Пользователи оплатили услуги скрипткида для получения премиум-акканута. Следовательно пользователи получили свои премы через эксплуатацию уязвимости. Телеграм заметил уязвимость, устранил уязвимость и ликвидировал последствия уязвимости.
Предположим, я очень занятый бизнесмен. Мои мелкие вопросы решает специально нанятый человек. Я хочу премиум. Я ставлю ему задачу и получаю свой премиум не вдаваясь в нюансы покупок.
По вашей логике я нарушил закон, так?
Единственным что можно сказать о покупке для личного пользования, так это то, что покупка на неофициальной площадке (А подросток с ключами официальным быть не может) является фактором риска. Нанятый человек на неофициальных площадках покупать премиумы с такими явными рисками должен только по распоряжению, иначе возникают сомнения в его компетентности.
Если-же покупка осуществляется для коммерческой деятельности в рамках бизнеса, то это однозначно нарушение, ибо предоставить соответствующие документы об услуге подросток не способен по причине отсутствия таковых. Платежная информация-то заведомо недействительна.
P.S. Ниже есть комментарий про «недобросовестный покупатель», полагаю именно то, что наилучшим способом подходит под ситуацию. Нарушает-ли покупатель закон? ИМХО, нет. Но и возмещать Телеграм затраты в таком случае не обязан. Разве что покупатель может попробовать потребовать компенсации от продавца в суде.
А подросток с ключами официальным быть не может
О том, что это подросток с ключами мы знаем как читатели уже по факту проведённого расследования. Судя по тексту это продавалось при помощи ботов. А боты могут быть разными. "В честь дня влюблённых, первые 1000 премиумов по специальной цене". Ты проверяешь - и действительно, без обмана, ты обладатель премиума.
Как предлагаете проверять продавца на чистоту не имея каких-либо встроенных инструментов это делать?
Можно ли утверждать, что покупка по скидке не у единственного продавца должно напрячь, когда мы живём в мире дилеров, дистрибьюторов, промо-кодов, акций? Может тогда занос денег в банкомат считать махинацией, ведь вы это через сторонние приложения и устройства делаете, а не у клерка в центральном отделении банка?
дважды:
1) наняли без трудоустройства и без заключения договора об оказании услуг,
2) и обратились к нелицензированному работнику без рабочей визы
Может тогда занос денег в банкомат считать махинацией, ведь вы это через сторонние приложения и устройства делаете, а не у клерка в центральном отделении банка?
а если ещё и через "банк-партнёр"!...
как юрист скажу - у телеграмма в Правилах нет обязанности Купить Премиум к аккаунту только у них. Более того в Разделе 3 правил разрешена возможность покупать Премиум у третьих лиц (таких как Apple, Google, и всех других), и все вопросы оплаты Телеграмм отсылает к этим третьим лицам. А вот про сам товар и возможность его отзыва он ничего не пишет, т.е. действуя через голову реселлера (дарителя) он отключает сервис Пользователям получившим дар за 1 рубль (как обычно пишут мелким шрифтом: под подарком понимается приобретение за 1 рубль).
Вот я украл из пятерочки сникерс и подарил/продал вам — какие условия оферты вы нарушили?
Есть такое юридическое понятие как "недобросовестный покупатель". Это человек, который покупает что-либо у заведомо неуполномоченного лица. Если я покупаю у вас сникерс, я знать о его предыдущей истории не могу, и признаков недобросовестности у меня нет. Если я покупаю у анонимуса подписку к стороннему сервису с каким-то нереальным дисконтом, то я целиком попадаю под определение недобросовестного покупателя.
А недобросовестный покупатель возвращает приобретённое имущество без каких-либо компенсаций.
Но это в уголовном или административном праве. В случае Телеграма я вряд ли ошибусь, если скажу, что в их оферте они сами за собой оставляют право блокировать подписки/учётные записи, так же, как это делает большинство других сервисов, и просто воспользовались этим правом.
Почему? Со сникерсом - это да, понятно. Но вы считаете, что в природе существует судья, которого не убедит, что анонимус, распродающий на своём канале подписки в разы дешевле, чем в официальных каналах сбыта, является заведомо неуполномоченным лицом?
Преступление или нет, это решать не в компетенции покупателя, в компетенции покупателя - определить, нормальный ли это продавец или какая-то серая подозрительная схема. И главное тут не одно это "ниже себеса", а всё вместе - "анонимус", "в разы дешевле официалов" и "на своём канале". Совершенно очевидно, что эти подписки добыты каким-то серым путём. Покупатель в таких случаях должен понимать, что купить-то он может, но гарантий работоспособности купленного у него нет и не может быть, это нелегальная покупка со всеми вытекающими.
Совершенно очевидно, что эти подписки добыты каким-то серым путём.Это вам сейчас очевидно в теме про серый путь.
Вот смотрите, реальный пример — у меня вот есть договор с DHL на перевозку международных грузов в почти 7 раз дешевле, чем на официальном сайте для физиков. Я могу отправить, например, ваш груз вдвое дешевле от своего имени (хотя мне кажется, что и от вашего могу, выступая просто гарантом), заплатить налоги и тд и все равно быть в приличном плюсе. Возможность кому-то иметь аналогичные условия в других конторах совершенно не выглядит какой-то сказкой. Тем более, что и товар-то у них — пиксели.
Можете, но вы же не будете делать это анонимно, если ваша схема легальная, верно? Не поймите превратно, я не утверждаю, что "анонимус"="мошенник". Я утверждаю, что "анонимус+большой неоправданный дисконт"="должно вызывать подозрение, а отсутствие гарантий и соответствующие риски - то, что покупатель должен принимать by default в таких сделках".
Да-да, вы действительно получите безлимитный диск на какое-то время. Может быть даже довольно продолжительное (месяцы, а то и годы).
Когда Google заблокирует ваши данные, размещенные на безлимитном диске, купленном за 100 рублей, кто по вашему мнению "плохим" будет?
Полагаете, Google должен оставить безлимтный диск пожизненно, ведь вы его оплатили и даже начали пользоваться?
Эм, нет. Премиум покупателю в этой схеме выдаёт как раз анонимус. А он там у себя уже каким-то неизвестным для покупателя образом получает её у телеграма. Поэтому и претензии относительно валидности подписки в данном случае можно направить только анонимусу.
Мне кажется ключевым словом во всей этой ситуации как раз и будет "договор" (по образцу, подписанный, а не устный). Я с вами его заключу о доставке, если выполните его - остальные проблемы мои, а если не выполните - то ваши. Или чек об оплате товара/услуги.
Если покупать без чего-либо из этого, то вы дарите "продавцу" деньги, а "продавец" дарит вам товар. Какие претензии к подаркам?
P.S. я не юрист и не разбираюсь во всех тонкостях, могу быть не прав. Если же это все же не подарки, то кто-то (я почти уверен) не заплатил неплохой такой налог со своей деятельности.
Формально, подобное поведение согласно ToS.
Выдержки из ToS
Оплата:
If your payment method is declined, you must provide new payment information or your Telegram Premium subscription will be canceled.
https://telegram.org/tos#1-1-payment
Так как "отправку липовых квитанций об оплате", то вероятно считать платёжный метод отклонённым.
Право одностороннего расторжения:
Telegram can decide to stop offering subscriptions at any time, including in response to unforeseen circumstances beyond our control ...
in this case we will cancel your subscription and refund the prorated portion of any prepaid subscription fee ....
https://telegram.org/tos/terms-of-service-for-telegram-premium#4-2-unilateral-termination
Так как "prepaid subscription fee" отсутствует, то и возвращать соответственно нечего.
Так здесь всё предельно просто. Путаница возникает от того, что в одну кучу свалены три независимых набора правоотношений.
Первое: телеграм и хакер. Телеграм разрешает дарить премиум. Приобретённый в подарок премиум должен быть оплачен приобретателем. Телеграм может предоставить доступ к премиуму сразу по факту получения заявки и отменить его, если подтверждающие документы не будут получены в некоторый срок. Нет оплаты — нет премиума. Все неоплаченные подписки аннулируются, иных обязательств стороны друг перед другом не имеют, так же как и претензий.
Второе: телеграм и юзер. Пользователь может получить в подарок подписку. Телеграм имеет обязательство предоставлять функции премиум по оплаченным подпискам. Так как подписка не оплачена дарителем, она аннулируется. По несуществующей подписке Телеграм обязательств перед пользователем не несёт.
Третье: юзер и хакер. Некое лицо может подарить другому лицу премиум, условия описаны в пункте первом. Некое лицо может подарить другому лицу деньги. Имел ли место факт продажи, или это было встречное дарение — нужно разбираться и доказывать. Но нужно это может быть только пользователю, «купившему» подарочный премиум. Только он и является единственным заинтересованным в подобном разбирательстве лицом. И претензии может иметь только к собственному контрагенту по данной сделке, но никак не к Телеграму.
Отдельный вопрос — правоспособность упомянутых школьников, но его рассматривать здесь не будем.
Если ты не правильно припарковался и оплатил штраф, это не значит , что ты и дальше можешь оставаться припаркованным. Тебя эвакуируют
Нет, это как раз неудачный пример. Если ты не правильно припарковался и тебе выписали штраф, то в общем можешь и дальше оставаться припаркованным на том же месте, два раза наказывать за одно и то же правонарушение - подобное законодательством не предусмотрено.
А это как трактовать. За проезд по полосе, выделенной для общественного транспорта, кажется, можно кучу штрафов собрать с разных камер. Даже если выехал на эту полосу только один раз.
Может разница в том, что считается нарушением. "Выезд на полосу" (однократное нарушение) или "движение по полосе" (длящееся).
Не удивлюсь, если и с парковкой на каждом цикле проезда контролера будет новый штраф выписываться. Штрафуют же не за факт остановки в неположенном месте, а именно за стоянку, длящийся процесс.
Или через какоето время приедут и увезут, чтобы прекратить нарушение принудительно.
С полосой общественного движения всё просто: ты проезжаешь перекрёсток со знаком, совершаешь одно нарушение в зоне действия этого знака. Проезжаешь второй перекрёсток, совершаешь другое нарушение в зоне действия другого знака и так далее. С парковкой в неположенном месте такого быть не должно.
Насчёт "увезут или нет", это зависит от местного законодательства. В некоторых странах могут увезти, в большинстве - только если вы серьёзно нарушили правила парковки, например, перекрыли проезд другим ТС, в некоторыхт странах вообще не могут увезти. Но в общем случае, если вам уже выписали штраф, то второе наказание, будь-то ещё один штраф на этом же месте, либо эвакуация ТС, уже не положено. Если вы там настоялись на эвакуацию, это было бы сразу вместе с первым же штрафом.
Но в общем случае, если вам уже выписали штраф, то второе наказание, будь-то ещё один штраф на этом же месте, либо эвакуация ТС, уже не положено. Если вы там настоялись на эвакуацию, это было бы сразу вместе с первым же штрафом.
бегло просмотрел КоАП, не вижу препятствий для эвакуации автомобиля не сразу после выписки штрафа.
Я никаких условий не нарушил. Но покупая у вас сникерс за 10₽, когда в магазине он же стоит 60₽, я должен понимать, что это либо контрафакт, и тогда его не стоит есть, либо получено вами нечестным путем, и тогда мне не стоит удивляться, если ко мне придёт дяденька полицейский и заберёт сникерс в качестве вещдока. Так же и в ситуации в посте.
так покупатели как раз заплатили, а премиум НЕ получили в итоге.
ещё раз, схема получения ЛЕГАЛЬНАЯ - ваш друг/родственник из Турции ДАРИТ вам подписку на телеграм/иксбокс/плейстейшн/свитч по турецкой цене. это механизм, введённый дуровым/микрософт/сони/нинтендо и прочими "купить в ПОДАРОК". деньги другу/родственнику вы тоже дарите.
Некий Бот поообещал годовую премиальную подписку стоимостью 2799 руб всего за 150 руб
Некто Покупатель заплатил Боту 150 руб и получил заветный "Премиум".
Попользовался им 1 месяц, после чего Телеграм этот Премиум отключил. Типа "хочешь продолжать - плати, как положено".
В принципе Покупатель все равно в выигрыше (месяц пользования Премиумом ему бы обошелся дороже). Только вот обманутые ожидания не дают покоя (Бот обещал целый год).
Телеграм ничего не должен пользователям, которые купили премиум не у него. Такая формулировка более понятна? Раз они заплатили деньги Васе, то пускай Вася и выдаёт им примиум. А раз не может, то кто виноват в том, что они не побеспокоились о легальности сделки и способности продавца предоставить именно подлинный товар с гарантией? Глупо утверждать, что пользователи не понимали что тут происходит и почему они получат товар дешевле. Они дали своё явное согласие на участие в "серой" схеме, принимая на себя риски, когда переводили деньги Васе, а не Телеграму.
Пользователи подарили свои деньги Васе по собственному желанию, их никто не заставлял это делать. Это была не покупка, т.к. нет никакого договора (который был бы в случае покупки у Телеграм), поэтому и жертвой они быть не могут. Где это слыханно, чтобы дарящий считался обманутым одариваемым? Ах да, точно, такое же уже миллион раз было и каждый раз оказывалось кидаловом... Наверное Телеграм в этом виноват =].
Это была не покупка, т.к. нет никакого договора
какое-то у вас очень вольное трактование. в магазине вы тоже каждый раз договор подписываете?
гуглите «устная сделка», «конклюдентные действия».
Это у Вас узкое понятие, если слово "договор" для вас означает бумажки. Устная сделка не имеет никакой юридической силы и не является договором в юридическом смысле. Это так, для справки.
P.S.: Да, именно так: каждый раз когда любой из нас входит в магазин, он, в этот же момент, одним фактом своего присутствия заключает договор.
P.S.: Да, именно так: каждый раз когда любой из нас входит в магазин, он, в этот же момент, одним фактом своего присутствия заключает договор.
Когда оплачивает товар и/или получает чек, если уж быть точнее.
В этот момент сделка считается завершённой. Заключается она именно входом в магазин.
Нет :) Заключение сделки, это как раз момент покупки - в этот момент у магазина появляются обязательства перед покупателем. Пока покупатель не изъявил своего желания что-то купить, у магазина нет никаких обязательств перед ним, он обязан лишь выполнять общие условия своего публичного договора купли-продажи, в одностороннем порядке.
Ну раз нет, то и сюда нет. Можете считать как хотите, когда столкнётесь в жизни сами проверите были Вы правы или нет. Интернет не судья.
Я как бы ничего не придумал. в ГК есть общие требования к дороворам розничной торговли, но какие-либо границы их применения отсутствуют напрочь, поэтому в общем случае надо руководствоваться исключительно здравым смыслом. Покупатель решил купить, совершил вышеупомянутое "конклюдентное действие", значит, сделка заключена. Сам по себе вход в магазин таким действием не является, потому что нет связи "вошёл = купил", в большинстве случаев "вошёл = посмотрел и вышел". Но да, я не исключаю, что некоторые судьи имеют какую-то другую логику, и могут и вход в магазин трактовать как конклюдентное действие.
Устная сделка не имеет никакой юридической силы
что это значит?
каждый раз когда любой из нас входит в магазин, он, в этот же момент, одним фактом своего присутствия заключает договор.
что именно за договор он заключает?
В современном мире цифровых продуктов есть же общеизвестное правило - не платить в онлайне деньги непонятно кому. Просто до сих пор встречаются люди, которые ещё его не знают.
Принято у кого? У абсолютного меньшинства в виде подкованнных специалистов, которые понимают как это работает?
Я прошу прощения, но сейчас не 2002 же год :) Сейчас 2022-й, молодёжь в этих интернетах пользуется им с пелёнок, а пожилые люди уже имеют десятилетний и более стаж. Тем более чтобы отличить легального продавца от откровенно стрёмного, вам не нужно знать протокол TCP, язык C++, архитектуру Windows, и даже где у компьютера кнопка reset. Надо просто уметь читать, там действуют те же правила, что и в оффлайне.
а потребовать у непосредственного покупателя возместить причененный им финансовый ущерб
Вот как раз этим и должны заниматься ничего не подозревающие пользователи. Телеграмм эти подписки активировала за поддельные квитанции, к которым не прилагалась реальная оплата. Она просто выключила продукт, который никому не продавала. Разве это не справедливо? Если вам мошенник напечатает и продаст задёшево, допустим, липовые проездные билеты, и вы какое-то время по ним поездите в троллейбусе, можно ли жаловаться на контролёра, что он у вас его забрал, когда увидел подделку?
Пассажир в данном случае будет добросовестным владельцем, т.к. деньги он выплатил через кассу и билет через кассу же получил. То что выплатил меньше, ну мало ли, акции/скидки/спецусловия.
И отбирать у него билет, ссадив на ближайшей остановке посреди поля это более чем странно. В выигрыше остались почему то мошенники, а не покупатели.
Пассажир в данном случае будет добросовестным владельцем, т.к. деньги он выплатил через кассу и билет через кассу же получил.
В вашем примере пассажир купил билет (условно абонемент на месяц/год) не через кассу, а через какого-то посредника.
Жаль, конечно, что факт "липовости билета" обнаружили не сразу, а только "на четвертую поездку". Но разве это аргумент "ну раз первая поездка прошла успешно, теперь проездной леглизуется на весь напечатанный на этой бумажке срок"?
Вина Телеграма - отдельно. А обязательства продавшего "липу" перед оплатившими ему подписку, которая впоследствии истекал раньше, чем обещано - отдельно.
Корень проблемы в первую очередь в том, что телеграм проигнорировала проверку авторизации платежа.
Нет. Корень проблемы в том, что мошенник решил воспользоваться обнаруженной уязвимостью, и заработать на этом деньги. Ставить во главу угла взломанный сервис, что он там что-то кому-то должен, потому что плохо защитился от взлома, это по меньшей мере некорректно.
Смотрите, ещё раз - третье лицо с помощью намеренных действий крадёт доступ к подписке и потом продаёт её кому-то. Поставщик, не получивший оплаты за подписку, это выясняет и аннулирует её. Что здесь не так?
Вы преувеличиваете уровень компьютерной грамотности современной молодежи. Мое поколение(25-30 лет), которое должно не быть "тупарями" в банальных вещах, при работе с базовыми вещами на компьютере, очень часто, к моему безграничному огорчению, ими являются.
Может быть, но я тем более тогда не вижу ничего плохого в случившемся. Их не какой-то важной вещи лишили, а всего лишь недорогой виртуальной безделушки, которую они купили у мошенника, клюнув на "подешевле". Считайте, что они получили платные курсы компьютерной безопасности, и в следующий раз не будут кормить других мошенников.
Поставщик, не получивший оплаты за подписку, это выясняет и аннулирует её. Что здесь не так?
например то, что он это выяснил не через несколько минут, и даже не через пару дней, когда не пришли деньги от эквайринга.
Нет, я все равно не понимаю. Допустим, у вас на даче спёрли велосипед. Вы это выяснили не через несколько минут, и даже не через пару дней, а весной, когда первый раз приехали на дачу. Это даёт какие-то дополнительные льготы тому, кто сейчас на нём катается?
Я бы понял, если бы речь шла о подписке, которую купили, воспользовавшись каким-то сбоем самой телеги или ошибкой её программистов. Но нет, без взлома с помощью сторонних инструментов приобретение этих подписок было в принципе невозможным.
Это даёт какие-то дополнительные льготы тому, кто сейчас на нём катается?
нет, конечно же. но вот репутация разработчиков телеграма пострадает.
Я бы понял, если бы речь шла о подписке, которую купили, воспользовавшись каким-то сбоем самой телеги или ошибкой её программистов. Но нет, без взлома с помощью сторонних инструментов
не понимаю вашей дихтомии. взлом — это всегда следствие ошибок разработчиков.
не понимаю вашей дихтомии. взлом — это всегда следствие ошибок разработчиков.
Ваше утверждение эквивалентно "изнасилование - это всегда следствие вызывающего поведения жертвы" :) Нет, конечно же, взлом - это всегда следствие намерений злоумышленника (ну, или пентестера в частном случае). Да, иногда разработчики упрощают эту задачу, но тем не менее, эксплуатант софта - пострадавшая сторона, а не виновник.
Репутация разработчиков телеграма пострадает в той части, что налажали с валидацией. Ну точнее как пострадает? Уйдёт эта тема с первых страниц сайта, и через несколько дней все напрочь про это забудут. Даже купившие ту злополучную подписку в массе своей разбираться в причинах не будут и тоже забудут. Что касается блокировок таких подписок - тут, конечно же, никаких вопросов к телеграму быть не должно, он их не продавал, обманутые подписчики их покупали не у него, вот пусть к своему продавцу и обращаются.
Да, иногда разработчики упрощают эту задачу, но тем не менее, эксплуатант софта — пострадавшая сторона, а не виновник.
то есть по вашему мнению специалисты по it-безопасности в случае эксплуатации пропущенных ими уязвимостей должны получать дополнительные выходные и оплаченные фирмой курсы реабилитации у психотерапевтов? они же пострадавшая сторона, хакеры своими грубыми руками вырвали их из мира розовых пони, как они будут дальше жить.
то есть по вашему мнению специалисты по it-безопасности в случае эксплуатации пропущенных ими уязвимостей должны получать дополнительные выходные и оплаченные фирмой курсы реабилитации у психотерапевтов?
Тут я вообще растерялся, и пытаюсь понять, как вы такой вывод сделали. Я написал, что во взломе виноват злоумышленник. Вы пишете "так что, специалист по it-безопасности долежн получать курсы реабилитации?". Где ж логика-то?
Ну он не виноват, он пострадал, его нужно жалеть и лечить ПТС на курсах реабилитации.
А чем плох вариант "просто поставить задачу исправить проблему", без сарказма, издевательств и обвинений?
например тем, что в случае подобных ошибок в криптовалюте, например, зачастую ущерб составляет миллиарды долларов и просто некому «поставить задачу исправить», фирма разорена. ну а программист переходит на новое место работы, да.
как там у классиков? «если бы архитекторы проектировали дома так же, как программисты разрабатывают программы, то первый же залетевший дятел уничтожил бы цивилизацию».
и да, где вы увидели сарказм и издевательства?
что же до обвинений, то они заслужены на мой взгляд.
сегодня любую систему, доступную в интернете, надо проектировать с учётом того, что её будут ломать. это так же неизбежно, как необходимость учитывать дожди для разработчика автомобилей, например.
если вы пишете процессинг платежей так, что школьник (не хакер!) может взломать его, или если вы проектируете подкапотное пространство так, что во время дождя вода льётся на блок предохранителей, — вы явно не хороший разработчик.
P. S. я не спорю с тем, что все совершают ошибки, и да, после них надо вставать и идти дальше.
но это не значит, что надо просто делать вид, что ничего не произошло, это контрпродуктивно.
например тем, что в случае подобных ошибок в криптовалюте
На одну подобную ошибку в криптовалюте приходятся сотни тысяч подобных ошибок в других местах, которые не разрушают фирмы.
Самая дорогая ошибка моей команды, которая была и опытнейшим разработчиком пропущена, и тестировщиками, в своё время стоила 15 млн долларов. Нас никого не уволили, только премий лишили, что вполне логично. Но мы сели и исправили это, максимально быстро. Не бывает софта без ошибок, как ты там не проектируй, у тебя всегда будут баги, всегда будут слабые места, это вообще никак не возможно, писать без ошибок. Наказывать надо за сознательную халатность, когда знал, что надо делать, но положил болт. А когда сделал что-то нечаянно, это не есть основание для наказаний, ни для взрослого, ни для ребёнка.
И это правильно. И действительно распространено.
Просто добавлю ссылочку: https://habr.com/ru/post/381097/
А из памяти - кажется, в Trend Micro как-то выкатили обновление, которое привело к негативным последствиям у клиентов. И там позиция руководства была, что даже искать виновника не особо надо. Ибо главная задача - поправить процессы, улучшить тестирование и т.п., чтобы такое не повторялось.
P.S. Идеальных систем не бывает. Всегда есть компромисс цена/качество/скорость. И производители замков знают, что их можно вскрыть. И пользователи понимают (должны понимать), что дешевый замок "более проблемный", чем навороченный (и более дорогой). И выбирать с учетом цены, задач, готовности к потерям...
Но не знает что продавец вор и велосипед ворованный, а деньги заплачены.
Ну ок, если вы найдёте свой украденный велосипед - вы его подарите тому, кто на нём катается, если он говорит вам, что не знал об этом, или себе вернёте?
Но велосипед свой заберёте, верно? Даже если вора не найдёте, не посадите, деньги не вернёте, да? ;)
Да и велосипед не клонируется. Это не подписка. Ущерб от использования неоплаченной подпиской Телеге незначителен, а вот репутационный ущерб уже заметен. К тому же те кто лишился и денег и подписки вряд ли будут её покупать официально, а так попользовались бы, привыкли, глядишь и продлили. Это уже потенциальная упущенная прибыль.
Нет не заберу, т.к. на время следственных мероприятий он будет стоять на спец стоянке.
Т.е. после окончания следственных мероприятий подарите тому, кто катался, что ли? Или всё-таки заберёте?
Да и велосипед не клонируется. Это не подписка. Ущерб от использования неоплаченной подпиской Телеге незначителен, а вот репутационный ущерб уже заметен
Вам не кажется, что отключая подписку, купленную у мошенника, телега наносит в первую очередь репутационный ущерб мошенникам, и даёт понятный сигнал пользователям, что покупать надо у официальных источников? Мне сложно представить себе пользователя, который после этого инцидента сменил мессенджер (ну, кроме некоторого количества из тех, кого непосредственно лишили подписки). Зато тех, кто понял опасность покупки у анонимусов, станет намного больше. И среди них также будет и часть тех, кто попал на деньги в этот раз.
Не проверка receipt'а это именно ошибка потому что в гайдах Apple прямо сказано что надо проверять насколько помню.
Кстати вот интересно — на андроиде такого бага не было? -:)
С общественным транспортом это совсем не абстрактный пример.
При оплате проезда в общественном транспорте как минимум у нас терминал работает в оффлайне и транзакцию может на следующий день прилететь.
Просто если будет отказ от банка то карта улетит в бан, для извлечения — надо оплатить "бесплатную" поездку через сайт. Это именно что штатная описанная ситуация.
Есть правда и схема ездить бесплатно за счет оплата телефоном и перепривязки карт но просто видимо мало кто считает что на этом стоит экономить.
Посыл больше похож на "Кто-то догадался до этого и заработал, а я нет!"
Да и в заголовке непонятный "Змес" появился какой-то. Эмоции автора преобладали над литературной составляющей :)
Чо добивается автор, чтобы шко́льников посадили? Все мы чудили в школьное время, читали журнал Хакер по вечерам в свободное от уроков время и глумились над несовершенством инета.
Автор конечно, со своей спецификой, но чет я не пойму, а вы не хотите что бы школьников посадили? Эт АУЕ культура в вас говорит, типо если маленькие, то садить не по понятиям?
Преступники должны быть наказаны, тем более что в таком очевидном деле. Если малолетние- на учет, и прочие сопутствующие действия. Вы бы еще насильников бухих до 16 лет предлагали за изнасилование отпускать- а что, для многих это тоже "чудили в школьное время", особенно во время 90х.
Странное видеть такое количество плюсов (11), причем такое чувтсво, что контингент меняется на сайте- начинаешь подмечать, что бредовые вещи за последний год с минусов начинают в плюс выходить
Вот вы правильно про поправимый ущерб говорите. Ситуацию можно поправить, если они вернут незаконно заработанные деньги. Вот если платить не станут, тогда да, принудительные работы и зона.
Уголовное преследование это правильный ответ на ситуации, когда люди занимаются уголовщиной. Вы бы вот хотели, чтобы у этих честнейших людей была возможность, например, работать в госсекторе? Конечно же нет. Вот для этого и есть судимость.
Я ещё понял бы, если бы тут речь шла про какие-то "неправильные" законы вроде копирайта или оскорбления чувств, но тут в чистом виде мошенничество в особо крупном размере: деньги получены, товар/услуга нет, больше миллиона рублей ущерба.
больше миллиона рублей ущербаРеальный ущерб или таки недополученная прибыль?
деньги получены, товар/услуга нетВо-первых, товар был. Первые пользователи с подпиской на 3 месяца даже почти полностью его потребили.
Во-вторых, ущерб для телеграма виртуальный. Реальным для пользователей он стал только после отзыва подписок, правомерность чего со стороны телеграма на самом деле не очевидна.
В-третьих, несмотря на крупные суммы ущерба в сумме, в часности они таки малые, и ничья жизнь не была сломана. А пациенты таки имеют шанс на реабилитацию (которая после реальной отсидки в компании фанатов АУЕ уже маловероятна).
Извините, а с вами точно все в порядке?
Давайте-ка я проведу более корректную аналогию, чтобы не сравнивать подписки с товарами, как в случае с молоком выше, ибо там надо сделать очень важную оговорку для того, чтобы аналогия была все-таки более-менее корректной, о которой все поголовно в треде выше молчат - молоко бабка с базара надоила не со своей коровы, а втихую слила с цистерны того самого агрохолдинга, остановившейся на обочине, воспользовавшись водителем-раззявой.
Но в данном случае речь об услуге. И представим себе железную дорогу, которая печатает билеты на поезда, но по какой-то причине не наносит на них никакой защиты. Принявшие такое решение - дураки? Безусловно. Но вот кто-то понял, что билеты никак не проверяются на предмет аутентичности и стал печатать билеты на принтере у себя дома и продавать их у вокзала подешевле. Ну или если уж совсем аутентично, пробрались в незапертую кассу на вокзале с утра и наштамповали там билетов готовыми клеймами. Люди их покупали и ездили на поездах. И вот железная дорога поняла, что дебет с кредитом что-то не сходится, и нанесла на билеты защиту, и вывела на линию контролеров, которые проверили все билеты, пришедших с подделками не пустили на вокзал, а тех, кто уже ехал в пункт назначения - ссадили с поезда (правомерность чего, цитируя вас же, почему-то вам не очевидна).
Услуга была? Была, люди ездили на поездах.
Ущерб для железной дороги виртуальный? Один фиг железная дорога перевозит сто тысяч пассажиров в день, перевезет и сто одну, подумаешь. Расходы на электроэнергию, ремонт поездов, путей - не, не слышали? В случае телеграма - аренда стоек в ДЦ, замена оборудования в них, оборудование дисковых массивов для хранения больших файлов по премиум-подписке, обслуживание всего этого добра на глобальном рынке?
Суммы ущерба в частности малые? Ну да, железка получает с продажи билетов миллиарды, не обеднеет. Как и телеграм. Подумаешь, недополученная прибыль, пф. Да и ничья жизнь тут не была сломана, люди просто ездили на поездах. И не надо печатальщиков фальшивок трогать, у них должно быть право на реабилитацию, они же еще дети, а на зоне страшное-ужасное АУЕ...
НЕТ. Это так не работает.
И я просто хренею с того, как люди начинают защищать преступников, прикрываясь тем, что "это еще дети, не надо им ломать судьбу" и "барин богатый, от него не убудет". Если от большего взять немножко - то это не кража, а просто дележка, да?
Где и когда мы свернули не туда, что открытый криминал стал приветствоваться и заплюсовываться?
Где и когда мы свернули не туда, что открытый криминал стал приветствоваться и заплюсовываться?
Ух, как приятно, когда наводишь курсор на карму автора, видишь -2, добавляешь, и загорается уже +4 (много комментов, долго просматривал).
Прямо кайфанул, что еще не все потеряно, и многие разделяют такие убеждения.
Виновные должны быть наказаны, это очевидно и в целом не подлежит обсуждению.
Речь об уровне кровожадности системы наказаний, а вот здесь уже есть, что пообсуждать.
Накозание состоит из двух компонент — месть общества и побуждение к реабилитации. Месть должна заключаться в нанесении виновному некоторого непоправимого ущерба, пропорционального тяжкостью проступка. Если мошенник обманом забрал у бабушки пенсию за N лет, то это очень плохо. А если школьник продал другому школьнику подписку за 150р, которая проработала 2 месяца вместо трёх, ну это такое. Потому первого надо посадить на несколько лет строгого, а второго пытаться реабилитировать.
Если от большего взять немножко — то это не кража, а просто дележка, да?Я такого нигде не утверждал.
Где и когда мы свернули не туда, что открытый криминал стал приветствоваться и заплюсовываться?А где он приветствуется и заплюсовывается? Я что-то пропустил.
А где он приветствуется и заплюсовывается? Я что-то пропустил.
В первом комменте под статьёй, только непонятно почему SilverHorse пишет это вам.
У нас винда по 300рэ на многих известных сайтах рекламируется и продается вполне официально. Никто не жалуется, и Майкрософт тоже. Сам себе купил 5 штук. Осознает ли пользователь что покупает лицензию не за 12к, а за цену пары пачек сигарет, и её могут отыквить? Срочно пиши кляузу в Майкрософт, чтобы отыквили Винду по всей России.
С лицензией там есть тонкость. Это ОЕМ-ключи, которые в принципе в некоторых странах (не РФ) перепродавать абсолютно легально. Поэтому Майкрософт скорее всего их блокировать и не будет, она их эмитировала легально, а легален ли был факт перепродажи, она не может проконтролировать. Но в то же время на территории РФ их использование де-юре незаконно.
... и скрестились копья!
Что такое уязвимость, виноват ли оболтус хакер, и еще много-много вопросов...
А что такое уязвимость, с чем ее едят?
Кошелек который торчит из кармана у пассажира маршрутки - уязвимость?
Возможность скачать ПО и не заплатить - уязвимость?
А если серьезно, то выясняется следующее.
Мальчишки, конечно, мошенники.Имеющиеся блага они получили не честным путем.
Правильные действия в такой ситуации - сообщи в телегу, они поблагодарят.
(может,конечно, и не поблагодарят, но тогда ты будешь иметь моральное право заскринить переписку и обмазать недобросовестную контору дегтем, на хабре, например)
Неправильные действия - обратить данную уязвимость себе в прибыль. После первой реализации такой схемы может (теоретически) возникнуть некое наказание (по буржуйски - панишмент) в соответствии со статьей УК РФ "Мошенничество" - приобретение права на чужое имущество путем обмана или злоупотребления доверием (номер статьи 159, если мне не изменяет консультант плюс)
Что собственно и произошло.
Правильные действия потерпевшей (убытки) стороны (это телеграм если чо):
- инициировать какое-никакое разбирательство. В ходе разбирательства выяснить, что некие оболтусы лица таскают у тебя из закромов, установить этих лиц и размер катастрофы (работа на пару часов в цифровой вселенной, со сбором всех доказательств)))
- возбудить компетентные органы (уж не знаю точно, какие - мировой суд, или участкового которому не посчастливилось "владеть" территорией где дислоцируется офис компании.
- в результате работы компетентных органов преступники получат соответствующее наказание (скорее всего чисто символическое, ибо дети), а также (внимание!) суд обяжет их возместить ущерб!!!! Тадаааам!
Потом, конечно, можно и учесть, что парни сыграли по сути на руку компании и сообщили (в итоге) об уязвимости, что-то скостить...
Неправильные действия компании - наблюдаем в реальной жизни...
Так как недобросовестность покупателей не доказана (а доказать ее сложно, так как "буква закона", в данном случае, оферты, не нарушена - вроде, дарить и продавать эти плюшки оферта прямо не запрещает), то страдают они (покупатели) зря.
А хакеры "попивают сок в своем квартале".
Увы! мир несовершенен!!!
Добрым молодцам урок!
Как Телеграм понёс убытки в размерах от $1млн до $1,5млн в течение 3 месяцев от действий школьников, результат действий которых он возложил на конечного потребителя, введённого заблуждения.
Если так подумать, то телеграм все сделал правильно, сделав rollback. (Согласно TOS: If your payment method is declined, you must provide new payment information or your Telegram Premium subscription will be canceled.)
Они ведь не взыскивали эти $1-1.5млн долларов с конечного потребителя? Соответственно они ни на кого ничего не возложили
Почему при этом до сих пор не были предприняты никакие меры по ограничению действий или по привлечению к отвественности малолетних мошенников, жертвами которых стали по консервативной оценке более 150 тысяч человек?
А вот тут да, скамерам явно должен светить бан (Cогласно тому же TOS). Но вот привлечением к ответственности скорее всего должны заниматься компетентные органы и по жалобам уже самих жертв
Считаю, что неправильно он сделал rollback, это не тот пункт, правильный пункт TOS (оплату ведь производило третье лицо):
3. Paid Services Obtained Through Third Parties
If you obtain a Telegram Premium subscription via a third party (e.g. Google Play, Apple App Store), your purchase may be further subject to the third party's terms as agreed between you and the third party. For Paid Services obtained via a third party, your billing relationship will be directly with the applicable third party.
А дальше они должны провести свое расследование, опубликовать некий пресс-релиз и условия для пользователей попавших в данную ситуацию.
Да и какие могут быть вообще условия для пользователей попавших в данную ситуацию?
А при чем тут АппСтор, если для пользователя, купившего премиум телеграмм у школьника третья сторона это школьник. Термсы школьников покупатель не нарушил.
С другой стороны, может и не должен, тк телега сама виновата, что не запрашивала подтверждения трансакций. Это вот сложный для меня вопрос.
На этот вопрос, кстати, можно ответить по аналогии - виноват ли в краже владелец обворованной квартиры, что замок плохо работал?
Штатным путём получить эту подписку было нельзя. Пацан взял софтину для взлома игры и увидел, что у неё есть побочный эффект с внутриигровыми покупками, между игровым сервером и API одного из вендоров предлагаемых в игре плюшек (телегой в данном случае) были слишком уж доверительные отношения. Ну т.е. это действие в общем-то ничем не отличается от "пнуть ногой стенку дома, увидеть, что от удара вдруг открылась соседняя дверь, залезть туда, стащить и продать". Сказать, что я сильно осуждаю подростка, нельзя - мозги в пубертатном периоде в принципе мало у кого есть, а тут такой соблазн. Но тем не менее, статья УК за такие действия есть.
Правильная аналогия будет, что вы говорите, что заплатили, а продавец (на рынке например) верит вам наслово.
Ну подождите, продавец тут - игра. Она выступает непосредственным продавцом внутриигрового контента для конечного покупателя, в том числе и подписок. Телега, это "оптовый поставщик" для игры. Игра была взломана явно и намеренно, что позволило "стянуть со склада" ещё немного платного лута, без реальных платёжек между продавцом и поставщиком.
Ну они ж подписки эти добывали для перепродажи путём отправки поддельных квитанций об их оплате через взломанный клиент PUBG, разве не так?
Но покупались же они за внутриигровую валюту, верно? Т.е. квитанции об оплате передавались в телегу из игры. Поддельные. Телега для активации подписки контролировала наличие квитанции, а не непосредственно перевода средств, что позволило им нашлёпать этих подписок в неограниченном количестве. Бесплатно.
Ну может быть, я неправильно понял вот эту фразу:
Точнее, незаконного обогащения - подросток решается на шару проверить способ покупки внутриигровых средств на Telegram.
Мне показалось, что речь идёт о том, что он это делал через какую-то интеграцию игры и телеги, что там есть возможность покупать плюшки внешних вендоров за внутриигровую валюту. Может, я просто неправильно понял, т.к. я тот PUBG и в глаза не видел. Или он просто применил ту же тулзовину к клиенту телеги?
У Пользователя официальный Айфон.
Проблема имеет место между Телеграмм и Apple и Покупателем во взаиморасчетах. Покупатель заказывает, якобы оплачивает, Apple подтверждает Телеграмму факт продажи (в этих взаимоотношениях был баг), Телеграмм передает товар Apple, тот Покупателю, и потом через много много времени бухгалтерия Телеграмм вдруг выясняет что деньги не поступили, а товар был отгружен Apple, далее Товар был подарен Покупателем другому Пользователю.
Здесь Телеграмм должен разбираться с Apple, а Apple с Покупателем, но они решили этого не делать, а просто имея доступ отключить самым конечным пользователям доступ к премиум услугам.
Даже не в этом, а в том, что одной и той же квитанцией было можно прокатить кучу транзакций.
Твики, ломающие IAP, обычно сохраняют одну реальную квитанцию (со своей покупки либо с репозитория "общака") и при попытках совершить покупки подсовывают успешные статусы и вот эту сохранённую квитанцию. Она уходит на сервер точно так же, как ушла бы и реальная, сервер стучит в эпл и спрашивает — была такая квитанция с такой-то позицией и суммой? Да, была — отвечает эппл, и сервер начисляет премиум/фантики/что угодно пользователю.
Решение относительно простое — после проверки и перед начислением посмотреть в своей локальной базе, а не видели ли мы квитанцию с этим идентификатором до этого в предыдущей покупке у совершенно другого юзера, ну и с учётом всяких нюансов типа операции "восстановить купленное" и др. (хотя в случае телеги это не актуально)
Понимаете в чем дело, жертв много, но каждая из жертв понесла ущерб (тут я не вчитывался, но по впечатлению) до 1 тыс. рублей. И "уголовка" этим деятелям "светит" только если жертвы объединятся и подадут ГРУППОВОЕ заявление на более чем 400 тыс. рублей (кажись, подробнотей не помню) ущерба.Т.е. при таких масштабах единичного ущерба (на каждую жертву, кому телега отказала в обслуживании) уголовнгое дело возбудить нереально. Только по заявлению жертв.
В этой истории непонятно только где школьники деньги хранили. Впечатление, что денег у них реальных не было, потому они с легкостью с ними и расстались
Всего этого можно было бы легко избежать при других правилах продажи премиум-аккаунта. Например, если бы их нельзя было перепродавать (дарить) - покупать только у Телеграма, и если бы они покупались за добровольное пожертвование любой суммы, раз нельзя выставить равную (даже минимальную равную) цену для разных государств и валют, тогда теряется спекулятивность, если не будет разницы на основе разницы валют. Оплата за свободную сумму пожертвования - очень даже неплохой способ оплаты, о котором к сожалению многие платформы не задумывались.
$1.5 млн
это сумма, полученная теми ребятами или суммарная стоимость всех подписок, если бы они были куплены как следует?
Допустим, приобрёл я «палёную» подписку за 150 рублей, но это вовсе не означает, что купил бы и «настоящую» почти за три тысячи. И как считать ущерб?
Автор скама такой зайка и добропорядочный юзер:
❌Telegram и скамеры, [01.11.22 02:48]
Постраемеся сделать 5-10% аудитории возврат средств, возможно для вас это покажется очень маленьким показателям, но теперь посмотрите на ситуацию с нашей строны: нашли баг, начали оптом и в розницу продавать премки и делали это 2.5 месяца, за это время ни 1 подписка не пропала, так что шансы на ее слет были минимальны, деньги, что нам платили мы тратили на выплаты своей команде, а это поверьте очень болишие деньги, на возвраты денег за не выданные премки из-за фикса способа раньше времени, так же деньги мы тратили на отдых и подарки близким и друзями, даже не думая, что прийдется что-то возвращать, большинство на нашем месте просто удалили бы свой тг и скрылись, мы же наоборот пытаемся что-то предпринять, так же сам тг не заплатил нам ни рубля за способ, как по мне это не справедливо, так бы с этих денег мы смогли оформить вам возврат, я надеюсь многие поймут нас и не будут держать обиду из-за потраченых 100-500 рублях, в общем и целом ситуация очень сложная, но мы правда стараемся сделать все, что зависит от нас, отнеситесь с понимаем ❤️🩹
У каждого человека свое понимание добра и зла - чел. по своему пониманию ничего плохого не сделал :)
Я такую логику никогда не понимал. Это логика гопников: «я у тебя отжал мобилку — а ты сам виноват, что ты лох, это твоя вина, не надо было быть лохом, вот за это я тебя наказал».
В современном мире да, наличие уязвимости — это косяк разработчика. Примерно как разборка конструктором детали, которая ломается до окончания гарантийного срока.
Это, конечно, никак не снимает ответственность со взломщиков; обманутые покупатели, как писали выше, имеют как моральное, так и юридическое право обратиться в суд.
Причем, в таких ситуациях ещё и находятся люди, считающие, что ребята вообще ничего плохого не сделали. Уязвимость же допустили разработчики — они и виноваты!
Как вы относитесь к ситуации с багом в обмене валют у Тинькоффа, где заведомо багоюзным способом полученные деньги были списаны или взысканы с пользователей?
как и ожидалось, дело оказалось бесперспективным в суде и деньги вернули
Ну как это "заведомо багоюзным". Обыкновенный заработок на курсах валют, по сути - форекс, по-научному - пространственный арбитраж. В этом в принципе нет и не может быть ничего мошеннического (если, конечно, вы не коммунист и не считаете нетрудовые доходы априори недопустимыми).
Влезу. Там не было как такового бага. Тинь во время суда в итоге признал, что дело в сотруднике, который вбивал данные в систему и ошибся. То есть ситуация сравнима с тем, что в магазине на ценнике опечатка. Ошибка? Ошибка. Но закон говорит, что покупатель не виноват и может покупать товар по заявленной цене.
в Там-таме есть )
https://blog.tamtam.chat/ru/2021/09/23/
Я правильно понимаю, что проверка покупки в телеге была на стороне клиента, а не сервера? Если так, то это не просто уязвимость, а прямо дыра
Пользователи плохие потому что покупали премиум в обход официального способа,
школьники плохие потому что нашли способ заработать,
телеграм плохой потомучто не стал вещать о своем факапе.
Какой ужас, все действовали в своих интересах!
Автору публикации рекомендую почитать о теории игр.
Баг баунти за 1.5 миллиона. А подписки оставить в качестве промоакции.
Так это же параллельный импорт! Не?
Мораль сей басни такова, только у официалов, только хардкор)
Серьезно, условно человек видит предложение "премиум в телеграм со скидкой" на каком-то неофициальном канале и соглашается это купить?! Ну понятно почему в скам столько людей вкладываются 😂😂
Да, я прочёл, что это не обман, а реальная подписка, просто через хак со стоимостью, но всё же - мне бы даже в голову не пришло покупать что-то подобное хрен знает у кого..
на каком-то неофициальном канале
И что такого? В тех же каналах продавались, например, промокоды мвидео, которые можно было получить отправкой смс на какой-то номер (лотерея), или промокоды алиэкспресс, которые могут быть получены в несложной онлайн-игре.
Вещественные доказательства преступления в виде выгруженных сообщений групп с признанием участников можно найти на облаке
Этот абзац отлично показывает компетентность автора
P.S. граммар-наци есть? Уместно ли тут выражение «на облаке»? Я бы сказал «в облаке».
Уместно ли тут выражение «на облаке»? Я бы сказал «в облаке».
А как правильнее, "на сервере", или "в сервере"?
если вы намекаете, что должно быть по аналогии, то, увы, в естественных языках это не всегда работает.
Облако — это абстракция, выделенный «кусок Интернета». Внутри этого объёма в Интернете могут лежать данные.
А вот сервер — это физическая штука, данные не лежат мешками внутри объёма его корпуса, а находятся на его дисках.
А вот сервер — это физическая штука.
Сервер - это разные штуки. У меня, например, два сервера на ноутбуке, и оба ни разу не физические. И подавляющее большинство серверов в современной ИТ-инфраструктуре, это как раз виртуалки где-то на хостинге, а не реальное железо. И в общем случае эти виртуалки являются подмножеством облачных сервисов.
Это как-то слишком надуманная логика, как по мне. Облако - это всего лишь продвинутая разновидность хостинга. Мы говорим "в облаке" просто потому, что это слово в своём оригинальном не-ИТ значении употреблялось с предлогом "в". Если мы говорим про ИТ-ресурсы, где размещается какой-то софт/данные, то они обычно используются с предлогом "на" - на диске, на сервере, на хостинге, на сайте. И сюда же и "на облаке", т.к. облако, повторюсь, это хостинг.
Мы говорим "в облаке" просто потому, что это слово в своём оригинальном не-ИТ значении употреблялось с предлогом "в"
как раз наоборот, вне IT это слово использовалось скорее во всяких сказках, где катались на облаках. если более серьёзные тексты, то будет «внутри облака».
естественных примеров же с «в облаке» у меня сходу не придумывается.
Можно за уши притянуть:
кататься (или что-то еще делать) НА облаке - как на ковре-самолете или чем-то еще, видно катающегося
"В" облаке подчеркивает, что нифига невидно, чего там. Все как в тумане. Черный ящик.
А вообще поиск логики в применении предлогов напоминает мне Про стакан, вилку, птичку, тарелку и сковороду
вне IT это слово использовалось скорее во всяких сказках, где катались на облакахЭто катались «на», потому что верхом. А спрятать — куда? — в облако.
Это как-то слишком надуманная логика, как по мне.Она просто звучит сложно, если её словами формулировать.
Ты один, великий и могучий, (сложноподчинённый и сложносочинённый), в дни сомнений и тягостных раздумий, мне надежда и опора, русский язык!
Для участников организации, как они сами написали в своих личных ресурсах в Телеграме(да, они до сих пор не заблокированы и даже продолжают делиться, как безраздумно тратят деньги введённых в заблуждение людей), грустно осознавать, что такой предсказуемый обычному образованному человеку демпинг, можно было бы избежать, будь они готовы к свалившемуся на них источнику денег.
Похоже на жалобу обманутого жадного лоха. Т.е. ребят вы совершая сделку отдавали себе отчёт, что деньги до Телеграма не дойдут. Но, решив сэкономить, вы таки продукт купили у скамеров. Так кто кому злобный буратино? Так что не очень понимаю сути статьи. Да парни нашли способ, да продавали его, да это был абьюз бага. Чего хотим то? С моей точки зрения - хороших в этой истории нет. У Телеги - баг, у лохов - желание сэкономить, у подростков желание заработать. Классичесский ЕЖГ.
Не ожидала такого от телеграма. Им вообще крупно повезло что они имели дели с детьми, а не с более продуманными людьми.
Можно пример?
Нормальные мессенджеры >>> VK.
Хотя бы то, что в чатах VK участвует всегда минимум 3 стороны.
Хотя бы то что фраза "во всех нормальных мессенджерах" подразумевает как минимум 2 оных.
Ну и говорят, есть еще какие-то, которыми я не пользовался, кто умеет.
Нет, это подразумевает, что наличие голосовых при отсутствии их расшифровки делает мессенджер ненормальным автоматически, тк им нельзя пользоваться по основному назначению.
Вы в этом утверждении как минимум забыли добавить "для меня лично" или что-то в этом роде. Потому что например я пользуюсь мессенджерами четверть века, ежедневно, с кучей людей из разных стран, и ни разу в жизни не пользовался функцией расшифровки голосовых сообщений. И полагаю, что миллиард юзеров телеги тоже не считаю эту функцию существенной, если не перешли на другой мессенджер,.
Автор, обратите внимание на кучу лишних запятых. Читать крайне сложно местами, хоть и интересная тема. Повальная сейчас проблема почему-то у новичков.
Кто не хочет учиться на чужих ошибках - учится на своих. Классика.
Верификация покупок из АппСтора - не новая проблема.
Не удивлюсь если разрабы говорили, что нужно через свой червак верифицировать, а им ПМы "довайте выкатывать так, на вчера нужно было".
Прошу прощения за оффтоп, но скажите, пожалуйста, Вам за количество символов платят или этот приступ графомании оправдан чем-то другим?
Суть текста можно было изложить в одном абзаце, вместо этого пришлось читать несколько страниц.
Почему механизм "перекладывания расходов на клиентов" стал мне понятен только из комментариев (отзыв подписок), но не из статьи? Почему автор так красочно расписывает жизнь школьников, но не смог внятно изложить такой простой, но важный для понимания статьи факт?
А я вот предлагаю другую аналогию. Вы хотите понтануться перед друзьями сумкой от Gucci, но у вас нет на неё денег. Не беда, вы идёте на рынок и покупаете такую же на вид сумку (и даже продавец вас уверяет, что она оригинальная), но по цене в 10 раз дешевле. Через неделю она облазит, а швы расходятся и ей становится невозможно пользоваться. Вы пытаетесь её сдать по гарантии в официальный магазин Gucci, но вам отказывают и вы идёте писать гневный отзыв.
Если вам кажется, что аналогия неверна, то вот вам пара фактов:
Подписка в случае телеграмма не является важной его частью (все важные функции доступны бесплатно), а по большей части не отличается от тех же скинов в онлайн играх или сумки Gucci.
Продавцы дешёвой подписки сами же не обеспечили её работоспособность максимально тупым образом (посрались и сдали сами себя в телеграмм). Если бы они были более предусмотрительными, то, возможно, ничего бы не отобрали. Считайте, что за эти 150 рублей продавец продаёт не только подписку, но и обязательство не сливать схему в ТП телеги. Они со второй частью обязательств не справились. Даже если вы считаете, что самим фактом приобретения подписки они не обманывали пользователей, а лишь телеграмм (что спорно), с обязательством не убивать тему они обманывали именно пользователей.
Ну и у телеги вполне достойная реакция. В онлайн играх за такое часто банят аккаунт, а не просто забирают нечестно приобретенный предмет.
Метафорами и водой заполнена эта статья, а так же порядок подачи информация как лабиринт. Прощай драгоценное время...
Если вы его потратили на статью, которая вам не нужна, а потом ещё и коротенькую рецензию настрочили, то не такое уж оно у вас и драгоценное :)
Не фанат высасывать из пальца. Главное что мои слова понятны. А ценность в краткости и сжатие информации. Из статьи я извлёк необходимую и полезную мне информацию, за это автору спасибо. По факту ключевой являлась история юных мошенников, всё остальное отвлекало, мешало, и отнимало время...
И я не говорил что она не нужна мне, не нужно выдумывать. А драгоценность моего времени прежде всего для меня, а не для вас и кого-то ещё. Вы случайно не автор под другим аккаунтом? Слишком вы агрессивны и очень липкий к критике. Да и аккаунт свежий. Свойственно для авторов с уклоном к обиде...
Вероятно, эта статья выйдет раньше официального ответа Дурова или даже "расследования" Кода Дурова. Причина тому - некомпетентность, халатность и замаличвание.
К слову "расследование" от Кода Дурова вышло еще 1 ноября в менее эмоциональном и более информативном ключе, лучше ознакомиться с ней, чем с данной статьей
Читая пост, складывается ощущение что хотели сказать что-то вроде «я вот честно пишу код, зарабатываю деньги, а тут школьники используя баг заработали сотни моих окладов».
Люди покупали подписки - ну и ок, они ж их получали. Ничего ужасного в этом не вижу, кто-то хотел сэкономить, а кто-то заработать.
Для меня вопрос в другом - как ребята обошли налоговую и как им не заблокали карты?) Смотря в тг канал ощущение что все делалось через переводы на карты, а в таких ситуациях тысячи переводов по 1к не вызывают как минимум подозрения?)
Ну и напоминаю
В Telegram заработала рекламная платформа. Теперь на каналах публикуются «спонсорские» посты, отключить которые пользователи или владельцы каналов смогут только за деньги. Реклама должна соответствовать тематике канала, но этого не происходит. К тому же, Павел Дуров с самого начала обещал, что в его мессенджере не будет ни рекламы, ни платных подписок. Свое слово он не сдержал.
Такое ощущение, что автор завидует)) А если серьёзно, то чтобы кого-то наказать, необходимо чтобы пострадавшая сторона обратилась в суд. Здесь, как я понимаю, никто никуда не собирается идти. Пользователи, купившие премиум в левом боте осознавали риски, и думаю не сильно расстроились при его аннуляции (тем более что деньги не большие). А в телеге, видимо тоже посчитали что сами виноваты. Тем более недополученная прибыль, в данном случае, это расплывчатая сумма. Здесь как с торрентами, человек который скачал игру на халяву, не факт что купил бы её, если бы его такой возможности лишили. Ну а школьникам просто очень повезло, что никто особо не в обиде.
Как случайность позволяла группе подростков обманывать пользователей Telegram в течение 3меc, с общим ущербом в $1.5 млн