Яндекс Плюс и их сервис
Пользуюсь сервисами яндекс довольно длительное время, но недавно произошла неприятная ситуация, которая в корне изменила мое отношение к этой корпорации.
У меня имелась активная подписка Плюс некоторое время, после чего я перешёл на семейный аккаунт(которым без проблем пользовался долгое время). Но в один из дней я увидел, что с меня списали 829 рублей. Я в недоумении стал смотреть, за что собственно такие бабки, и обнаружил, что на меня оформлена подписка с яндекс Станцией, но я никакой станции себе не оформлял. Пишу в ТП, спустя несколько "специалистов" узнаю, что станция оформлена 24 марта и уехала в Питер, на минуточку за 1,5 тысячи километров от меня.
Кто-то скажет, рядовая ситуация, обычный взлом аккаунта, но тут начинается самое интересное - на аккаунте стола и стоит двухфакторная аутентификация по СМС!
Когда начал копаться в аккаунте, я с ужасом обнаружил несколько левых номеров: +7 960 312-51-21 +7 986 223-85-39
И левую банковскую карту: *6116(полностью узнать нельзя)
По одному из номеров пробивается некая Ирина Михайловна Е., вероятно, дроп.
То есть кто-то получил доступ к аккаунту, сменил номер телефона, банковскую карту, заказал станцию и заблокировал/опустошил подставную карту. Собственно, из-за подставной карты я узнал о подписке со станцией только на второй платёж (как я понимаю, не смогли списать с подставной карты и начали списывать с моей).
Вопрос "как прошли двухфакторку?" остаётся открытым, ибо никаких оповещений я не получал. Единственный мне известный способ обхода такой двухфакторки ведёт к блокировки симки у владельца, но у меня симка активна.
Вопрос "как можно оформить станцию не имея никаких данных о человеке?" тоже остаётся открытым.
А теперь о ТП Яндекса
Это худшая "поддержка" из всех, что мне когда-либо попадались. Мне кажется, что там даже не люди, а просто боты.
Несколько раз общался с поддержкой яндекс плюс, пытался понять как так получилось, почему не было оповещений, как обошли двухфакторку, как оформили станцию без паспортных данных. Они либо слали на их форму восстановления аккаунта, либо кидали скрипт как ВЕРНУТЬ им станцию и отказаться от подписки, станцию, которой у меня нет, которую они выслали черт знает кому и куда.
А на форме восстановления, судя по всему, точно бот, на несколько моих обращений с разным содержимым, мне просто прилетал скрипт, если считаете, что вас взломали, идите в полицию у нас лапки.
Возможно, во всём этом замешаны и сами сотрудники яндекс? Это объясняет, как прошли двухфакторку. Остальные же вопросы останутся без ответа.
Итог: одна из топовых российских IT корпораций не только оформляет свои станции кому попало, не имея никаких данных о человеке, но и банально не может обеспечить должного уровня безопасности аккаунта.
P.s. на текущий момент обратился в поддержку банка для чарджбэка, привязанную карту перевыпустили, сказали ожидать решения по возврату.
Совет всем, которому я не следовал и который мог уберечь меня от всего этого:
оформите себе виртуальную карту с отдельным счётом исключительно для подписок и пополняйте её каждый месяц, так и деньги целее будут и в случае утечки данных ваша основная карта не пострадает.
Если кто-то сталкивался с чем-то подобным, буду рад вашей помощи и советам в комментариях.