Программа лояльности РЖД для меня была немного нонсенсом, зачем лояльность монополисту?Но оно работало, я даже перестал ждать подвоха, и тут РЖД наконец показало истинное лицо со своей “программы лояльности”Весь 2017 и половину 2018 года я почти каждую неделю ездил в Москву, на поезде было удобнее и в Питере и в Москве, едешь на метро, не зависишь от аэроэкспрессов.За это время накопилось порядка 100000 премиальных баллов в “программе лояльности” ржд-бонус (1 поездка на сапсане стоит 5000 баллов). Не буду даже упоминать чудесный сайт, которым было невозможно пользоваться и который наконец переделали год назад.Так вот, за последние два года я потратил чуть больше половины всех бонусов, в вчера при попытке купить премиальный обнаружил, что я потерял все свои баллы и золотой статус программы. Они просто все были списаны 05.12, даже подаренные 26.11 на день рождения 500 баллов.Наверное ошибка, подумал я и обратился в службу подержки, но там мне ответили только вот этим:”Срок действия баллов не ограничен при условии отражения на персональном счете в течение 24 месяцев хотя бы одной транзакции по начислению баллов за совершенные поездки. В случае отсутствия транзакций за поездки или если в течение 24 месяцев отражены только транзакции по списанию баллов, накопленные баллы аннулируются.”При том, что я не пропадал с радаров, ездил в поездах регулярно, да, тратя премиальные баллы и доплачивая за услуги в поездах и, очевидно, продолжил бы так делать, когда баллы закончились.Как вы думаете, хоть где-то мне подсветилось в “программе лояльности” или на сайте РЖД, что баллы скоро сгорят? Если бы я делал программу лояльности, я бы хотел чтобы клиент был достаточно лоялен. Но РЖД решило по другому, и программа лояльности стала как бы больше не для меня: “Чувак, ты два года платил нам только за доп.услуги в поездах, иди на хрен”. Забота о клиенте – это не про РЖД, видимо.Ну и вишенкой, конечно стало то, что баллы, подаренные на день рождения 26 ноября ЭТОГО года, списались через 10 дней после “дарения”.Что я могу сказать, браво РЖД, а я пошел за билетом на самолет
Персональные данные более чем 1,36 млн пользователей программы лояльности «РЖД Бонус» стали достоянием хакеров, взломавших сайт, в котором находилась информация клиентов. Сотрудники сайта, где были размещены данные, сами же и «завесили» их в свободном доступе в интернет. Об этом сообщил основатель сервиса поиска утечек и мониторинга даркнета «DLBI» Ашот Оганесян в своем Telegram-канале «Утечки информации». По его информации, первым сведения об этой утечке опубликовал Telegram-канал DC8044 F33d. Атака на сайт или же просто его использование хакерами (или одним хакером), в связи с тем, что он не был достаточно защищён, произошла ещё 6 ноября.
«Зафиксирована попытка взлома программы лояльности «РЖД Бонус», в ходе которой злоумышленнику удалось получить доступ только к служебному файлу, содержащему в зашифрованном виде адреса электронной почты пользователей. Система безопасности предотвратила доступ к персональным данным участников. Инцидент не угрожает сохранности личных данных пользователей, а также баллов на счетах клиентов», — сообщили в РЖД.
В холдинге сразу же заявили, что уже на следующий день все проблемы будут разрешены, специалисты проведут защитные мероприятия.
«В целях безопасности всем пользователям будет предложено сменить пароль при входе на сайт», — добавили в госкомпании.
«Не скачав эту базу, сложно проверить её содержимое, и хочется верить в правдивость комментария РЖД, но допускаю, что неосмотрительный сотрудник мог сделать бекап базы в корень сайта, а боты хакеров, автоматически проверяя разные сайты на дыры, могли его утащить, — рассказал vgudok.com на условиях анонимности специалист по кибербезопасности Алексей. — Обеспечение работы сайта в госкомпаниях зачастую ложится на плечи сисадмина, который хорош в установке и обслуживании серверов, но ничего не понимает в CMS, веб-программировании и других веб-инструментах. Его задача — чтобы сайт открывался, а должное внимание к внутренней настройке уже не его забота, хотя в тот же Bitrix по умолчанию встроены рекомендации по обеспечению дополнительной безопасности и система мониторинга угроз.
Можно пофантазировать, чем грозит утечка. Как минимум: спамеры обогатились огромной актуальной базой email-адресов — жди мошенников в почте.
Хуже, если хакерам стала известна соль для MD5 — тогда у них будет шанс подобрать часть паролей брут-форсом, а если учесть, что у некоторых пользователей одинаковые пароли везде, то и получить доступ к почте и прочим аккаунтам бедолаг. Маловероятно, что кто-то всерьёз займётся брут-форсом такой объёмной базы, так как это требует больших вычислительных мощностей, терпения и везения, но простому пользователю для подстраховки всё же стоит изменить пароль в «РЖД Бонус». Общие рекомендации к новому паролю стандартны: он должен быть уникальным, абстрактным, максимально длинным и содержать спецсимволы.
Есть у меня рекомендации и для РЖД: не отдавайте менеджмент веб-сайтов на аутсорс или штатным сисадминам, вместо этого наберите команду профессионалов, чьей основной задачей будет ведение веб-проектов. Иначе детских ошибок с взрослыми последствиями не избежать. В IT слишком много специализаций и под каждую нужен свой профи».
Утечка информации клиентов «РЖД Бонус» произошла из-за того, что сотрудники компании оставили незащищёнными данные более чем 1,3 млн пользователей прямо в корневом каталоге сервера этой программы, и он получил очень широкое распространение в интернете.
Но есть и другие причины такой оплошности, рассказал vgudok.com управляющий партнёр коммуникационной компании B2Chain Денис Терехов.
«Эта тема, скорее всего, интересует профессиональных айтишников и хакеров. Полученная информация носит служебно-технический характер, и там нет персональных данных в том виде, в котором мы это понимаем, то есть паспортных данных, адресов электронной почты. Есть только что-то зашифрованное. Я готов поверить официальному комментарию РЖД. Действительно, это прошла просто «тренировка» хакеров. Существует неформальное соревнование между хакерами, кто вскроет базу того или иного большого предприятия, банка, авиакомпании.
Здесь явно просматривается спортивный интерес в чистом виде.
Большинство пользователей «РЖД Бонус» вообще не узнают и не заметят, что подобная история произошла. Это постоянное соревнование среди хакеров. Кто-то проверяет систему на прочность, понятно, что уязвимость всегда находится. В данном случае некорректно было бы всё валить на РЖД. Если приводить аналогии, это как борьба с вирусами. Один вирус прорвался — придумали противоядие, антивирус, поставили заплатку. Следующий вирус ещё хитрее окажется, он в другом месте найдёт щель. Так что это такая бесконечная история», — считает эксперт.
«Это халатность сотрудника РЖД, причём не исключено, что с умыслом, раз ключи лежат вместе с базой, — рассказал vgudok.com Chief Technology Officer крупной IT-компании Алексей Кондратьев. — Провал сильнейший: сейчас можно прогнать типовые пароли и по их хэшам получить доступы к части клиентов «РЖД Бонус».
Холдинг остаётся одним из любимых объектов для хакерских атак. В августе 2019 года РЖД «проморгали» или упустили персональные данные более 700 тыс. своих сотрудников. В сети оказались их ФИО, даты рождения, номера СНИЛС, фотографии, телефоны, адреса прописки и многое другое. Позже выяснилось, что они были украдены в результате хакерской атаки, совершённой в июне 2019 г. жителем Краснодарского края. Его удалось вычислить в результате расследования, проведённого службой безопасности РЖД совместно с управлением «К» МВД России.
Ровно за год до этого специалист по поисковым системам компании Rush Agency Павел Медведев заявил, что персональные данные монополии, а также таких компаний, как Сбербанк, ВТБ, могут быть вскрыты и в любую минуту оказаться в руках злоумышленников. Vgudok.com писал об этом.
Ни для кого не секрет, что на Басманной уделяют большое внимание всему, что касается цифровизации, нано-технологий и т.д. Все видели красивые отчёты от IT-блока РЖД, посвящённые шагам в будущее, ежедневно овеществляемым монополией. НО одно остаётся неизменным: компьютерные просчёты сотрудников холдинга или подрядчиков. Из-за них на просторы Всемирной сети то и дело улетают данные то работников, то пассажиров.
Хорошо, что пока что зачастую имеют место просто хакерские тренировки, то есть киберпреступники «ломают» систему из спортивного интереса, без ощутимых последствий для компании и клиентов. Однако всё может измениться в одночасье с очередным запущенным «червём». Не пора ли цифровым топ-менеджерам прислушаться к словам нашего первого спикера и создать, пусть и неформальный, но сильный спецотряд по борьбе с киберугрозами? Пусть даже из тех же вчерашних хакеров.
«РЖД хапнули у меня треть моих баллов!» — крик клиента ФПК разнёсся по всему интернету и эхом остался в редакции vgudok.com. Естественно, мы решили узнать, что случилось и помочь человеку, у которого во взаимоотношениях с холдингом всё начиналось очень даже романтично. РЖД постоянно привлекают новых (да и старых) клиентов акциями — разовыми или регулярными. К первым можно отнести скидки на летний сезон, «пенсионные» скидки или дисконт на групповые поездки школярам.
Благами второй группы акций могут воспользоваться топ-пассажиры — постоянные клиенты, которые часто пользуются услугами «Федеральной пассажирской компании» (ФПК, дочка холдинга). Им регулярно перепадают бонусы для приобретения новых билетов. Однако, как это часто бывает, благие намерения устилают дорогу (железную) сами знаете куда. Произойти это может в любой момент и с кем угодно.
Не повезло и нашему сегодняшнему герою.
«Накопите 35 000 квалификационных баллов или совершите 50 поездок в вагонах поездов классом не ниже «Купе» в течение календарного года и переходите на золотой уровень программы «РЖД Бонус», — так декларируются привилегии самого топового уровня бонусной программы холдинга.
Однако случаются и нелепые и странные исключения. Когда кто-то хочет сделать всё хорошо, а получается наоборот. История с золотым статусом «РЖД Бонуса» для постоянного пассажира ФПК, журналиста Сергей Вильянова, удивительна от начала и пока ещё не до конца. Впрочем, всё, о чём будет поведано ниже, не заставит невольного участника этого приключения отказаться от услуг монополии, по его собственным словам. Но осадочек останется точно.
По работе Сергей Вильянов постоянно колесит по всей России, при этом железная дорога в приоритете, особенно если ездить из Москвы не во Владивосток или Хабаровск (тут скорее самолётом удобнее и быстрее), а в Петербург, Самару или Смоленск.
Я по работе очень много езжу, налётывал в лучшие времена на золотую карту «Аэрофлота» за три месяца, но когда я езжу по России — в основном передвигаюсь на поезде, рассказал Сергей vgudok.com.
«Я в прошлом году подсчитал, что, несмотря на пандемию, посетил 11 городов. Для 2020 года это немало. Почти всегда я езжу на поезде, потому что мне так комфортнее. Могу поспать, мне проще доехать от центра города, если вокзал в нём расположен, до места встречи. То есть это абсолютно рациональная история. Нравятся мне поезда. Плюс я, как правило, езжу СВ, либо бизнес-классом, то есть покупаю довольно дорогие билеты», — уточняет наш собеседник.
В 2017 году Сергей Вильянов увидел, что у него в кабинете «РЖД Бонус» появилась золотая карта. Новый владелец к этому отнёсся довольно спокойно, есть и есть. И на карте стали накапливаться бонусы.
«При этом я продолжал покупать билеты за деньги в основном. Потому что мне всё равно потом работодатель это компенсирует. Я копил баллы: впереди лето и можно семьёй поехать, а семья большая. Вот как раз время купить на четверых человек билеты и куда-нибудь поехать. И вдруг в начале января 2021 года я вижу, что у меня со счёта исчезла треть моих накоплений. Я немного удивился и написал в поддержку «РЖД Бонус»: ребята, а что у вас там такое происходит?
Мне ответили, что «мы вашу проблему рассматриваем, не волнуйтесь». А потом замолкли и исчезли.
Я ещё раз написал, опять ответили, что рассматривают. Потом я позвонил на горячую линию. Мне сказали, что произошла ошибка в программном обеспечении, мне баллы вернут, очень извиняются. А потом всё пропало, они перестали реагировать на обращения. При этом баллы продолжали начисляться. Я в этом году уже довольно изрядно помотался, мне начисляли баллы, золотая карта оставалась», — вспоминает наш герой.
«Буквально в течение нескольких часов поддержка, которая молчала 4 месяца, во всём разобралась, и они мне сообщили, что я в 2017 году получил золотую карту по ошибке. А далее в 2018 году продлили по ошибке, и в 2019 и в 2020 продлили по ошибке. Всё это время я, негодяй, подлец, сволочь, копил баллы незаслуженно. Мне сказали, что баллы не вернут и тут же отключили золотую карту, которая продолжала действовать в этом году тоже. Они, наконец-то, поняли в чём «косяк».
Потом мне позвонила девушка, которая говорила, что «вот вы понимаете, такая штука произошла, но мы вернуть баллы не можем и карту мы отняли, а вы её заслужите сначала. А потому уже будем снова с вами разговаривать серьёзно». По факту 11 тысяч баллов они у меня хапнули. Это не бог весть что, один билет СВ, но, с другой стороны, это стоимость билета. И его ещё надо накопить с учётом того, что там одна поездка приносит порядка тысячи баллов».
Ситуация странная и сложно объяснимая. Есть тот, кто ошибся, есть клиент, который и без всяких скидок постоянно ездит на поездах по всей стране, а при этом возникает такой конфликт. Кто-то, получается, где-то недосмотрел, не ту кнопку нажал, а проблемы на пустом месте у пассажира. Сергей к этой ситуации относится спокойно. Всё равно буду ездить на поездах, говорит он.
«Человеку, журналисту, члену множества творческих союзов, который много мотается, ему всё это открытым текстом сказать, что по ошибке вам дали карту, четыре года её продляли и отнять эти баллы. Господи, ребята, я не верю, что в масштабах РЖД моя эта вот прибыль, скидка, меняет погоду.
Тем более что когда покупаешь билет по бонусной карте, ты всё равно платишь деньги. Меньше, но выкладываешь.
Если бы это была нормальная компания и там работали адекватные, взрослые люди, которых не роняли в детстве, которые проходят тест на IQ с баллом больше 80 хотя бы, то можно было бы баллы оставить, а карту потихоньку отменить. Я бы и не рыпнулся. А тут получается, они у меня баллы отняли и перестали тут же отвечать и реагировать на письменные обращения, по телефону врать, что это ошибка и сейчас мы всё вернём, это не достойно компании с такой историей, с таким масштабом, это просто бред какой-то», — возмущается обманутый пассажир.
РЖД не нанесли никакого ущерба бюджету, они просто удивили, говорит Сергей Вильянов. Они подарили байку, которую теперь можно будет много лет рассказывать.
«Я жду, что в компании появится какой-то адекватный человек, который скажет: вы с ума, что ли, все сошли? Проще всего в итоге сказать, что я никогда больше не буду пользоваться РЖД. Нет, конечно. И поезда хорошие появились, и удобные во многих ситуациях. Но то, что даже в хорошей компании могут оказаться слегка альтернативно одарённые граждане, увы, бывает», — резюмирует Сергей Вильянов.
«Хотели как лучше, получилось как всегда» — присказка, которая иллюстрирует данную ситуацию лучше всего. Надеемся и верим, что в РЖД/ФПК разберутся в этой абсурдной ситуации. Пандемия — лучшее время, чтобы с топовыми клиентами ссориться? Едва ли. Мы продолжим следить за тем, как будут развиваться события.