Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Маркетинг
Сервисы
Деньги
Личный опыт
AI
Соцсети
Телеграм
Право
Крипто
Карьера
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Dmitry
Приёмная

Qiwi: как потерять доступ к деньгам из-за банального бага

...и как вам (а баг может касаться и вас, необходимые и достаточные условия см. в последних абзацах) никто не поможет.

Как вы, возможно, знаете, время от времени «Киви» сообщает, что ваш (только что верно введенный) пароль «истек», и ультимативно требует установить новый. Это у них зовется «заботой о безопасности».

В наш век, когда в тот же «Сбербанк-онлайн» любого пускают вообще без пароля (даже если вы его установили), это выглядит очень мило и традиционно, я бы даже мысленно поставил плюсик в карму, но чу!: я ввожу новый пароль, ввожу цифирь из SMS, но в итоге получаю лишь туманное:

Seems like something isn’t going right. Try again later

Qiwi: как потерять доступ к деньгам из-за банального бага

И всё! Это тупик. Доступа к кошельку и ко всех средствам в нем у меня больше просто нет.

Пишу в веб-чат — разводят руками и якобы составляют «заявку к техническим специалистам».

Мысленно соглашаюсь, что дело тут действительно в каком-то программном баге на их стороне — насколько редком, что даже сообщение об ошибке не удосужились перевести на русский, поэтому просто жду… жду… еще жду…

И ровно через 4 (четыре) месяца получаю шаблонное «Повторите, пожалуйста, попытку восстановления пароля». Из чего можно понять, что за все это время «технические специалисты» написанное даже и не подумали толком прочитать (напоминаю: пароль никуда не терялся, это «Киви» его инвалидировала).

Но может быть, это придирка по форме, а по-существу все решилось? Но нет — ни черта не изменилось: something по прежнему isn’t going right.

Окей. Киви — птица гордая: пока не пнешь, не полетит.

Звоню на «горячую линию»: оператор с трудом находит развалившуюся на несколько тикетов* переписку, много извиняется, над чем-то там колдует минут семь под релаксирующую музыку, но все, что по итогу может предложить — это «повысить приоритет заявки». Просто оставить старый пароль в покое нельзя, подтвердить смену по телефону нельзя, обналичить деньги — упаси боже.

Сколько же займет хотя бы прочтение «приоритетной» заявки, если на обычную ушло четыре месяца? — спросите вы. Спросил и я. Ответ был: ждите письма по существу не более, чем через трое суток.

На обещанные три дня, конечно, не надеемся, ждем пять… тишина.

Звоним еще раз: оператор с трудом находит развалившуюся на несколько тикетов переписку, много извиняется, над чем-то там колдует минут семь… Стоп. Дежа вю? Да нет, все, что по итогу мне могут предложить — это опять «повысить приоритет».

Прогресс, однако, есть: на сей раз обещают, что все рассмотрят в течение одних суток.

«Одни сутки» длятся уже неделю.

Итого: по неведомой самой «Киви» причине — из-за какой-то программной ошибки на их стороне — человеку фактически могут заморозить весь баланс; и за много месяцев «технические специалисты» не удосужились уделить ей даже минимальное внимание.

И в качестве вишенки на торте: пройдет еще немного времени, и (как пить дать) деньги начнут списывать в оплату за «неактивность».

Ну а пока дважды «приоритетная» заявка пылится в очереди, было бы небезынтересно самому погадать, что же это за баг такой.

Посмотрим чуть более вооруженным взглядом: нелокализованная строчка прилетает в таком вот payloadʼе в 401-ответе на post-запрос к https://qiwi.com/oauth/authorize:

{ "error": "server_error", "error_description": "Email code generation failed.", "error_code": "700", "user_message": "Seems like something isn’t going right. Try again later." }

«Email code generation failed» — это, согласитесь, уже куда понятнее, чем «Seems like something isn’t going right». Почему скрываем это от пользователя? Непонятно.

Так или иначе, условия попадания в этот тупик проясняются: во-первых, у «Киви» в опциях есть галочка «использовать [почту] для изменения пароля», и наверняка у меня она включена, тогда как по-умолчанию, а значит и у большинства — нет.

А во-вторых, общеизвестен дурной паттерн проверять почтовый адрес на якобы «валидность» до того, как туда что-то отправлять. Известно также, что ряд таких проверок дает ложноотрицательный ответ на адресах с плюсом (+) в логине типа firstname+label@lastname.ru. И такой адрес — это точно мой случай.

Осталось найти лишний номерок телефона, чтобы создать новый кошелек, и проверить догадку — и эврика! Все так, и даже хуже: привязать почту вида login+label@domain.tld до сих пор можно (код подтверждения на нее приходит успешно), а получить на нее после этого код для смены пароля — нет.

При этом пока вам еще не обнулили пароль, сменить почту вполне можно, так что если кто тоже любит plus addressing — бросаться судорожно искать, как бы вывести весь баланс не обязательно. ;-)

#qiwi #киви #жалобакиви #баг #безопасность #пароль #техподдержка

* QW16452033, QW16629470, QW16676045

14
14 комментариев