Почему тысячи кабинетов на Wildberries были заблокированы?

Наверняка вы слышали новость, которая последние 24 часа просто разрывает всевозможные чаты селлеров — на Wildberries блокируют один за другим личные кабинеты ещё и в разгар рождественской распродажи.

А все дело в утечке данных и возможного взлома одного сервисов аналитики. Мы постараемся объяснить простым языком, что же произошло на самом деле.

Начнем с того, что разберем, как сервисы аналитики «интегрируются» с личным кабинетом поставщика WB.

Есть несколько популярных способов:

1. API ключ (API токен статистика). Используется для получения статистики. Самый безопасный способ передачи данных, так как позволяет только получать информацию без возможности что-то менять или редактировать.
2. API токен. Используется для получения данных, редактирования карточки и многое другое. Является официальным токеном от WB для интеграции. В отличие от API статистики позволяет не только получать информацию, но и ее изменять (например информацию карточки, цену и тд), поэтому является менее безопасным, но данный токен в любой момент можно сбросить внутри личного кабинета, простыми словами отключить все сервисы, которые его использовали.
3. WBToken и supplierId. Предоставляет возможность делать все что угодно только с рекламным кабинетом Wildberries, но имеет ограниченный срок жизни, поэтому приходится его обновлять.
4. Токен V3 (WILDAUTHNEW_V3). Предоставляет доступ ко всему личному кабинету поставщика WB и всему, что с ним связано. Данный токен никогда не истекает и в настоящий момент не имеется возможности его каким-нибудь образом сбросить. Любой, кто получает этот токен, получает полный доступ без ограничений. Это самый небезопасный способ.

Итак, проблема в том, что многие сервисы аналитики используют именно токен V3. Особенно он актуален для тех сервисов, которые предлагают инструменты по управлению и автоматизации рекламы. Такие сервисы просят у клиентов этот самый токен. Ведь с токеном V3 можно автоматически обновлять WBToken и клиенту не нужно каждую неделю обновлять токен вручную. Казалось бы правда очень удобно, но мало кто думает, какие последствия могут предоставления токена V3 третьим лицам или сервисам.

Но так как это небезопасно мы, в сервисе аналитики MarketGuru, используем WBToken, предоставляющий доступ только к рекламному кабинету с ограниченным сроком действия, именно поэтому его постоянно приходится обновлять вручную. Да, это не всегда удобно — но это безопасно! И это оказалось куда важнее, как мы все уже поняли.

Какой риск передачи токена V3?

Так вот, этот небезопасный токен V3 (ключ, простыми словами) дает доступ к полному управлению кабинетом поставщика — совершенно ко всем его возможностям. И самое печальное во всей этой ситуации то, что ОТОЗВАТЬ ИЛИ ИЗМЕНИТЬ ЭТОТ ДОСТУП НЕВОЗМОЖНО.

Тот, кто будет владеть этим токеном, может сделать совершенно все, что может делать сам поставщик в кабинете — и даже больше. Можно поменять цену, поменять реквизиты, удалить товары, управлять рекламой, финансами и еще много чего неприятного для владельца кабинета.

ВАЖНО! Если кто-то получает этот токен, то НАВСЕГДА получает доступ к аккаунту поставщика.

Нам, в компании MarketGuru, не всегда было просто объяснить клиентам, почему у нас нужно обновлять токен, а в других сервисах нет. Друзья, но вот вам и очевидный ответ. Токен V3 небезопасен.

Предоставляя такой доступ третьим лицам вы даете им право распоряжаться вашим личным кабинетом, который никогда не сможете забрать. Это сравнимо с тем, что вы дадите пароль с полным доступом в свой банк, который никогда не можете изменить или заблокировать.

Так что же случилось?

Токены V3 тех клиентов, которые использовали другие сервисы аналитики, каким-то образом попали к злоумышленникам. Возможно, что это взлом одного из сервисов, либо утечка данных по другим причинам. Соответственно, теперь у этих посторонних лиц появился полный доступ к тысячам кабинетов поставщиков, где теперь мы можем наблюдать недобросовестные действия.

Именно поэтому Wildberries начал массово блокировать личные кабинеты поставщиков — во многом из-за того, чтобы исключить мошеннические манипуляции с аккаунтами, токены V3 которых попали в руки злоумышленникам. Как один из вариантов — новые обладатели токенов V3 могут изменить цены товаров и выкупить их ботами или наделать других «неприятностей» в личном кабинете, разорив предпринимателей.

Что теперь делать?

Вот небольшой план действий, которые можно предпринять прямо сейчас, даже если вас это не коснулось:

1. осознать, на какой риск вы идете, если кому-то передаете такой токен, четко понимать уровень доверия к сервису или к боту.

2. лучше никому не давать токен v3. Но если и решили кому-то дать этот токен, то нужно быть уверенными в надежности этого третьего лица или сервиса и понимать последствия утечки данных.

3. если вы кому-то передавали токен V3, то можете написать в поддержку WB и попросить сбросить вам токен V3, даже если у вас с кабинетом все в порядке. Только не путайте это с другими токенами, это очень важно.

Нужно ли переживать клиентам МаркетГуру?

Сервис аналитики MarketGuru не использует токен V3 именно по причине его небезопасности. Хотя у нас много идей, как мы могли бы автоматизировать работу для селлеров через этот токен, но он небезопасен, нужно всем осознавать этот риск.

Более того, все личные данные клиентов MarketGuru надежно защищены и зашифрованы. Все токены, что мы запрашиваем, имеют срок действия — их можно сбрасывать и закрывать доступы, что добавляет клиентам уверенности в безопасности.

Надеемся, что ситуация с массовыми блокировками и их причиной стала понятнее.

Желаем всем пострадавшим скорейшего восстановления и минимум потерь!