Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Маркетинг
Сервисы
Деньги
Личный опыт
AI
Крипто
Телеграм
Маркетплейсы
Право
Карьера
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Максим Чекмазов
Личный опыт

Безопасность магазинов на Тильде: урок за 115 000 рублей

Еще одна статья для тех, кому (как и нам) недостаточно информации в Интернете о том, что на Тильде ничего серьезнее 5-страничного сайта с обычной формой заявки или микро-интернет-магазина создавать не стоит.

У клиента интернет-магазин цифровых товаров — уникальные коды для игр, пополнения баланса и т. п.

Ночью на прошлой неделе человек смог приобрести десяток товаров общей стоимостью более 180 000 рублей (115 000 рублей — себестоимость) всего за 50 рублей.

Заказ на 1400 единиц товара общей стоимостью 50 рублей. Успешно оплачен. 
Заказ на 1400 единиц товара общей стоимостью 50 рублей. Успешно оплачен. 

После оформления заказа он почти сразу получил на почту уникальные цифровые коды, которые были в наличии и которые не успели вручную снять с продажи. Вернуть или заблокировать их невозможно.

Это не классическая история, когда интернет-магазин выставляет на сайте товар по ошибочно низкой цене, и клиент спокойно его покупает.

Цены на сайте были установлены правильно.

Тильда передала информацию о заказе, где в описании указана правильная стоимость. Вот только сумма оплаты была изменена до 50 рублей.

Заказ успешно оплачен (платежной системе все равно, какую сумму ей передали — такую она и запросила у клиента). После оплаты Тильда убедилась, что все «хорошо», и оплаченный заказ по вебхуку отправился в систему, которая рассылает письмо с цифровыми кодами.

Клиент не с первого раза смог изменить стоимость заказа и оплатить его. По заявкам видны множественные попытки с разными ошибками.

Единственное, что смогла Тильда — это отправить нам сообщение «Подозрение на мошенничество» после одной из первых заявок. А потом спокойно пропустила следующие, в т. ч. с успешными платежами.

Почему не ограничили хотя бы временно доступ после предупреждения — вопрос.

В итоге: минус 115 000 рублей менее чем за час.

В течение недели мы пытались получить ответы от технической поддержки.

К сожалению, не удалось точно определить, почему пришли данные с отрицательной суммой <…>. Некоторые пользователи могут изменить стоимость через инструменты разработчика.

Техническая поддержка Тильды

Не берусь судить на сколько это нормально. Кажется, что не должна быть возможность изменять стоимость товара через инструменты разработчика еще и с дальнейшей передачей на оплату.

Собственные скрипты, модификаторы, которые как-то влияют на товар, стоимость, и корзину на сайте, отсутствуют.

Тильда в общем-то сама предупреждает о том, что полученную сумму платежной системой нужно сверять с суммой заказа.

В нашем случае это физически было сложно сделать и мы решили сразу автоматизировать отправку заказа без ручных доп. проверок.

Получили неплохой урок. По ситуации будем разбираться дальше.

Начать дискуссию