Как разработчик приложений для «ВКонтакте» Happy Santa забирает чужие донаты и пожертвования
Больше двух лет пользовался виджетом для «Пожертвования» для «ВКонтакте» от разработчика Happy Santa, тот самый, что делает все официальные спецпроекты для «ВКонтакте» (FIFA 2018, статистика по коронавирусу и т.д.). В общем, ребята, у которых за спиной не один десяток готовых проектов.
Примерно с мая я перестал получать донаты с этого виджета, но не придал этому значение, подумал, что это все коронавирус. В июне мне написал подписчик, что пытается кинуть донат, но появляется ошибка. Пока пытался выяснить в чем дело, оно заработало. Донат получил. Сегодня получил сообщение от другого подписчика, где он сообщил что в знак благодарности кинул донат. Но деньги почему-то не пришли…
Стал разбираться, и выяснил что при первом открытии виджета пользователем в форме платежа для Яндекс.Денег подставляется другой номер кошелька — 410014706395221.
Этот же номер кошелек стоит в официальном сообществе Happy Santa во ВКонтакте. Оставил тикет в техподдержку и начал копать дальше. Думал, только у меня такой глюк, но все оказалось еще хуже.
Нашел сообщества, которые используют этот же виджет, и проблема повторилась.
Попробовал перевести пожертвование в сообществе «Храм преп. Серафима Саровского в селе Перлёвка».
При первом запуске платеж идет на кошелек номер 410014706395221 (который принадлежит разработчикам), а после перезагрузки страницы на 410013660192390. Который, как мы видим, принадлежит отцу Серафиму.
Ну ладно, думаю, может у них тоже такой глюк. Взял следующее рандомное сообщество «Дзержинск Онлайн». У них в шапке виджета указан номер кошелька.
Проверяем.
Опять подставляется номер яндекс.кошелька Happy Santa..
Ну и третий для чистоты эксперимента стал «Благотворительный фонд «помощь».
Все тоже самое.
А теперь давайте попробуем представить масштабы мошенничества. Да, именно мошенничества, я ни за что не поверю, что топовая команда разработчиков могла допустить такой баг. Выше скринкасты с телефона, но и через ПК 1 раз так получилось вычислить. Отсюда предполагаю, что это было сделано специально, не баг а фича (с).
В свое время администрация ВКонтакте активно продвигала этот виджет, он был одним из первых и помогал контент мейкерам, по этому он установлен в 0,5 млн сообществ.
Так же прошу администрацию ВКонтакте заблокировать этот виджет, за мошеннические действия. Ранее номер кошелька подставлялся скрытым полем в форме, и POST запрос сразу шел к яндексу. Сейчас же форма отправляется на сторонний ресурс (Happy Santa — miniapps.donate.vip243.vkforms.ru) и уже оттуда происходит редирект.
Обновлено: посты на VC работают, приложение отключено