Не успел ритейлер JD.com прийти в Россию, как неожиданно столкнулся с проблемами, которых никогда не имел на своем рынке. То ли DDoS-атака, то ли «дыры» в системе чуть не сорвали купонную акцию и привели к утечке данных части клиентов. Историю JD.com активно обсуждают в интернете последние несколько дней, и я провел небольшое расследование, пообщавшись с представителями всех заинтересованных сторон в Москве и Китае. И вот что удалось раскопать.

Китайский ликбез

Сначала небольшая справка о компании – для тех, кто еще не в курсе. Что такое JD.com? Это один из крупнейших китайских ритейлеров, котирующийся сейчас в NASDAQ (4 место среди всех ecommerce-компаний в мире), но играющий в некий сервис прямых онлайн-продаж, похожий на AliExpress. Здесь надо четко понимать разницу между JD и Ali: JD.com является в первую очередь ритейлером (прежнее название 360buy.com), в то время как AliExpess – это маркетплейс по типу eBay, площадка-посредник между продавцами и покупателями.

Еще одно важное отличие: Ali воспринимается как некий всемирный дискаунтер, на этой площадке продается много б/у товаров, но у JD.com другая структура, сервис состоит из двух частей: ритейла и маркетплейса. Ритейл, называющийся JD Collection – это продажа оригинальных товаров от китайских производителей, здесь компания выступает авторизованным продавцом продукции таких брендов, как Xiaomi, Nubia, OnePlus и др. Частные продажи, то есть маркетплейс (Mall в терминологии JD.com), доступны только юридическим лицам, «физики» не могут использовать сервис для продаж, как у AliExpress.

Соответственно, ценовые сегменты разные. По заявлениям представителей компании, средний чек составляет 150-200 долларов, а у Ali он в районе 30 долларов.

AliExpress работает семь лет на рынке и имеет сейчас более 6 миллионов заходов ежедневно, JD делает первые шаги – посещаемость порядка 300 тысяч в сутки.

И последний факт: у JD.com самая крупная логистическая инфраструктура в китайском ecommerce, а в России договор по доставке подписан с «Почтой России» и SPSR.

Что случилось?

23 октября JD.com организовал «купонную» акцию: при регистрации в сервисе пользователю выдавался промо-код – купон, которым он мог поделиться с кем-то еще, инициировав другую регистрацию в системе, и за это получить на свой счет $10. Но что-то пошло не так: то ли купоны кончились, то ли система дала сбой, у пользователей вскоре начали возникать проблемы со входом в систему и регистрацией купонов, стал подвисать сайт. Я дозвонился в центральный офис JD.com в Пекине и задал несколько вопросов техническому директору Дану Лиу (IT director of overseas markets):

– Я вижу две причины произошедшего. Во-первых, промо-акция оказалась гораздо более популярной, чем мы сами предполагали. Во-вторых, она оказалась заманчивой для злоумышленников, которые начали плодить поддельные аккаунты и инициировать многочисленные фейковые регистрации, передавая купоны самим себе же.

Расшифровываю: китайцы недооценили любовь русских к халяве (очевидно, что стали «подседать» их сервера) и, самое главное, столкнулись с «читерством», не предусмотрев заранее лома против этого приема. Но была ли это действительно утечка или DDoS-атака, сейчас выяснить невозможно.

Утечка данных

Вскоре история с купонами получила продолжение: вроде бы в сеть просочилась часть базы клиентов, которые уже сделали заказ на сайте или же просто поучаствовали в купонной акции. В компании официально факт утечки такой информации отрицают:

– Господин Дан, была ли все-таки утечка?
– Нет, это была спланированная хакерская атака на наш сайт неизвестной группы людей.
– Насколько быстро и как вы среагировали?
– Мы вернули все в прежнее состояние через несколько часов, работоспособность сервиса была восстановлена в полном объеме. Но теперь мы добавили проверку на подлинность аккаунтов, чтобы избежать повторения этой проблемы.

«Утекшая» база сейчас у меня перед глазами. Это CSV-файл (текст с разделителями), в котором можно увидеть имя, телефон и домашний адрес (но не email), всего 4 966 строк. Невооруженным глазом видно, что часть аккаунтов – фейковые, с многочисленными регистрациями одних тех же пользователей с незначительными изменениями – так, чтобы каждая запись могла сойти за уникальную. В одних случаях изменены фамилии, в других – адреса или телефоны, иногда просто добавляются лишние пробелы и служебные символы. Также много нерусских имен, в основном польских. Вот несколько скриншотов.

Почему поднялся шум из-за этого файла? Потому что JD.com рискует попасть под закон № 152-ФЗ «О персональных данных», преследующий за распространение личных данных пользователей. Но нюансов здесь множество, как и трактовок закона. Во-первых, неясно что это за база, и имеет ли JD.com к ней вообще какое-либо отношение – здесь нет данных о заказах, нет даже электронных адресов, что странно для ритейл-утечки. Может быть, база просто была взята из какого-то справочника адресов, где есть все мы, и который легко найти на «Горбушке». Впрочем, я скорее склоняюсь к версии, что это действительно осколок базы JD.com, а недостающих полей нет потому, что их намеренно убрали те, кто базу добывал.

И теперь во-вторых: о чем этот закон, какие персональные данные он имеет в виду? В случае с JD.com была рассекречена связка трех типов данных: полное имя, домашний (или рабочий) адрес, мобильный телефон. Паспортных данных, ИНН, банковских карт и прочих данных, утечки которых можно было бояться, нет, их не запрашивали при покупке или регистрации купона.

Что дальше?

JD.com – не первая и не последняя компания, столкнувшаяся с проблемами при выходе на наш рынок, здесь главное – как проблемы будут решены. Реакция Global JD.com поступила через три дня после инцидента, вот цитата из сегодняшнего официального релиза о возобновлении купонной акции:

«Вынуждены сообщить, что 23 октября 2015 года на сайте JD.ru возникла техническая ошибка, вызванная повышенным количеством адресованного трафика… Все купоны, выданные в период действия акции, актуальны и могут быть использованы для покупок на JD.ru. Мы также подтверждаем, что все оформленные к настоящему моменту заказы будут доставлены пользователям...

В ответ на повышенный интерес к проведенной акции мы приняли решение о ее возобновлении с 27 октября 2015 года.

Акция доступна только для реальных пользователей сайта, приглашающих своих друзей зарегистрироваться на сайте JD.ru через отправку персонального кода. В случае нарушения условий акции и фактов регистрации поддельных аккаунтов с целью получения личной выгоды, JD оставляет за собой право пересмотра условий акции.»

Получается, что: а) в компании проблему признали, б) меры приняли, и в) даже скомпроментировавшие себя купоны не аннулировали. Умываем руки, берем портфель, идем домой? Кажется, рановато. Может, это просто первый звоночек? В общем, меня, как и пользователей сервиса, волнует вопрос, не повторится ли эта ситуация в дальнейшем. Особенно в преддверии распродажи 11 ноября, грядущей «Черной пятницы» по-китайски, когда все онлайн-магазины ощутят огромный приток покупателей. Вот тогда станет ясно, решена проблема или нет. Так что, JD, готовьте свои сервера, прокачивайте мощности и закрывайте дыры, русские и так загадочны до невозможности, а в период лихих распродаж и вовсе непредсказуемы.

P.S.

Моя позиция на этот счет проста: я за конкуренцию и всегда только приветствую новых игроков. Например, очень рад был выходу операторов Yota и теперь Tele2, подобное оздоравливает рынок и подстегивает конкурентов, которым порой просто необходим пинок. И тому факту, что такой глобальный игрок, как JD, вышел на российский рынок, к тому же в это непростое время, остается только радоваться. Другой вопрос, что надо соответствовать местным законам и реалиям, и я желаю JD.com внимательнее относиться к российской специфике. Надеюсь, эта история послужит для JD.com уроком, больше не повторится и заставит усилить меры безопасности.