Замечательный "сервис" от UPS и забота о защите данных клиентов⁠⁠

Довелось мне не так давно заказывать с Амазона. Некоторая проблема в таком заказе в том, что для части товаров нет возможности выбора вариантов доставки и в итоге международная доставка будет оформлена через UPS.

Мой личный опыт с UPS, если исключать последние события, не сильно отрицательный, но в Интернете можно найти много плохих отзывов как по скорости доставки, так и по другим параметрам.

Моя проблема заключалась в том, что одну посылку Амазон оформил как два разных отправления из-за того, что позиции были от разных продавцов. И вот на прошлой неделе мне пришло оповещение от UPS, что обе посылки поступили на таможню и нужно предоставить все необходимые для оформления данные, после чего подтвердить их пин-кодом из смс. Однако для одной посылки смс мне пришла 7 часов после получения оповещения, а вторая так и не дошла вовсе. Попытки достучаться до поддержки по контактному адресу почты ни к чему не приводят на протяжении уже почти недели. Звонить на телефон поддержки тоже бесполезно, так как ты висишь на линии 25-30 минут и слушаешь повторяющееся сообщение о том, что нет свободных операторов и как появится, сразу же ответят. При этом телефон поддержки далеко не бесплатный, то есть такое вот висение тоже вылетает в копеечку. А если учесть еще и тот факт, что хранение груза бесплатное в течение только первых 3 дней, то становится совсем грустно от такого "сервиса"

То есть из-за такой вот мелочи, как неотправленный пин-код, мне приходится тратить опять же свои деньги и силы, чтобы таки посылку получить. Плюнув в очередной раз после попытки достучаться хотя бы куда-то я зашел обратно в личный кабинет со списком отправлений и заметил, что никакой защиты от брутфорса на странице с полем для ввода пина - нет. Ну и значит остается только перебрать все целые значения от 1000 до 9000, так как пин, насколько я понимаю, может быть только из 4 цифр и вряд ли будет меньше 1000. Но это базовая догадка, возможно я где-то ошибаюсь.

Перебирать руками все это, конечно, можно, но это слишком затратный по времени подход. Поэтому для таких целей я вспомнил, что у меня установлен плагин Tampermonkey, который позволяет писать свои скрипты для выполнения на сайтах. Для написания используется Javascript. Сам скрипт вышел всего в несколько строчек и ничего сложного из себя не представляет - собранный наспех и вероятно не самым оптимальным образом, из-за чего браузер может довести систему до Out of Memory за полчаса непрерывной работы (лечится перезапуском браузера). Кому интересен скрипт - могу скинуть в личку. Самое главное - свою работу он делает - перебирает значения, вбивает их в форму и кликает на кнопку подтверждения. И так до победного. В моем случае понадобилось "всего" около 2 тысяч итераций и примерно час-полтора времени перебора.

Что еще интереснее, так это то, что и на самой странице авторизации https://ups-broker.ru нет никакой защиты от брутфорса. То есть в теории можно написать скрипт, который будет перебирать пароль и телефонные номера. Учетная запись там создается автоматически и на почту приходит логин по телефонному номеру и пароль из 6 цифр. Вряд ли многие клиенты заморачиваются сменой пароля на что-то более серьезное, а потому и подобрать такие пароли не должно быть проблемой.

Не уверен, что так можно украсть посылку, но подсмотреть паспортные и другие данные клиентов, которые когда-либо пользовались услугами UPS по международной доставке - запросто. А еще когда и что заказывали в каком количестве. Прям раздолье для потенциальных злоумышленников.

Такой вот сервис и забота о безопасности данных у UPS. Писать или звонить им об этой очевидной уязвимости смысла не вижу по той причине, что до поддержки даже со своей проблемой я так и не достучался. Возможно огласка хоть как-то поможет.