Zagadka obciążania dodatkowymi opłatami klientów Play rozwiązana. Operator obiecuje zwrot pieniędzy

Robert Kędzierski
Kilka dni temu pisaliśmy o zgłoszeniach od klientów sieci Play, którzy są obciążani za doładowywanie obcych numerów. Cała sprawa okazała się przekrętem. Play zapowiada zmiany, ale zapewnia, że sprawa ma charakter marginalny. Poszkodowani mogą liczyć na zwrot straconych pieniędzy.

Jak informowaliśmy, niektórzy abonenci Play byli obciążani dodatkowymi opłatami za doładowania obcych numerów na kartę. Do serwisu Zaufana Trzecia Strona zgłaszali się poszkodowani twierdząc, że na rachunku widzą opłaty za coś, czego nie zlecali.

Mam abonament. Na mojej fakturze znajduję się obciążenia za doładowanie karty Play na łączną sumę 150 PLN, których nie robiłem. MÓJ TELEFON NIGDY NIE DOŁADOWYWAŁ ŻADNEJ KARTY PRE-PAID.

Osoby, które zgłaszały tę nieprawidłowość, często słyszały na infolinii, że wszystko się zgadza, a w historii ich konta widnieją odpowiednie zlecenia. 

Znamy mechanizm przekrętu

Zagadkę udało się rozwikłać ekspertom serwisu Zaufana Trzecia Strona. Faktycznie - doładowania były przeprowadzane z kont użytkowników Play24Poszkodowani zostali zaatakowani przez cyberprzestępców, którzy wykorzystali cechę w systemie.

Scenariusz wygląda następująco: atakujący przejmuje konto ofiary. Następnie loguje się na stronie 24.play.pl i wykonuje operację dodania numeru telefonu do konta. Ma to pozwolić zarządzanie w jednym panelu wieloma numerami. 

Kluczowe jest to, że użytkownik zostaje w tym momencie przeniesiony na inny adres - konto.play.pl. W drugiej zakładce wciąż może otworzyć jednak witrynę 24.play.pl. Z niejasnych przyczyn umożliwia to zmianę domyślnego numeru, na który przychodzą powiadomienia SMS od sieci Play.

Kod SMS potrzebny do zatwierdzenia doładowania dociera wyłącznie na nowy numer dopiero co dodany do konta. Gdybyście testowali sami, to uważajcie, by nie zamknąć zakładek zbyt szybko, bo możecie mieć problem z ponownym zalogowaniem się do konta. Najpierw w zakładce konto.play.pl trzeba usunąć nowy numer i dodać swój właściwy a następnie zatwierdzić zmianę. Wtedy można już się normalnie logować.

- wyjaśnia Zaufana Trzecia Strona. 

Na blogu Play pojawił się komunikat informujący o wprowadzeniu zmian mających uniemożliwić wykorzystanie tej luki w interfejsie. 

Wiemy już więcej na ten temat. Dodatkowo jeszcze wczoraj udało nam się wdrożyć uzupełniające rozwiązanie/zabezpieczenie. W momencie wykonania doładowania wysyłamy SMS na numer, który ma być obciążony. Jeśli sam zlecasz doładowanie masz potwierdzenie akcji, jeśli nie – jak najszybciej zgłoś sytuację do nas.

Czytaj też: Od 10 lat możesz pracować dla CIA. A w zasadzie to twój router. 

Nie możemy mieć jednak całkowitej pewności, że wszyscy klienci Play są już bezpieczni. W celu uniknięcia naliczania opłat użytkownik powinien zrobić dwie rzeczy.

Po pierwsze, zmienić hasło - zarówno do maila jak i konta Play. Bez dostępu do konta przestępcy nie zmienią numeru do powiadomień.

Drugi krok, to wyłączenie usługi "Doładowanie konta na kartę z abonamentu".  Warto też przejrzeć rachunki i w przypadku wątpliwości wnieść reklamację. 

Rzecznik prasowy Playa Marcin Gruszka zapewnił nas w rozmowie telefonicznej, że sprawa ma charakter incydentalny. Dotyczy kilkunastu osób, które otrzymają zwroty w ramach reklamacji. Firma twierdzi, że dziennie w sieci odnotowuje kilkanaście tysięcy doładowań na kartę przez abonentów. Do tej pory nie było problemów z tą usługą. Utrata pieniędzy opisywaną metodą jest możliwa tylko poprzez włamanie na konto.

Magazyn Porażka: Media kreują wyspy szczęśliwości, które dla wielu są po prostu nieosiągalne [NEXT TIME]

Więcej o: