Текст книги "Как открыть бизнес и наступить на все грабли"

Как хакеры взломали наш первый сайт и украли у нас деньги

Чтобы все было «по-взрослому», вместе с первым тиражом футболок мы зарегистрировали домен demetrashop.ru (demetra в адресе сайта – результат нашей ошибки с выбором названия бренда, об этом мы подробнее расскажем в пятой главе).

Денег на то, чтобы разрабатывать навороченный сайт с уникальным дизайном, не было, поэтому просто купили шаблоны ShopScript или что-то вроде этого. Решение было простым и удобным, во всех настройках получилось разобраться самостоятельно, шаблоны дизайнов были симпатичными, не понадобилось ничего дополнительно придумывать, админка сайта была интуитивно понятной.

На сайт было легко добавлять товары, статьи, новости. Работать с заказами тоже стало удобнее – их можно было сортировать по датам, по статусам, статусы помогали отслеживать ход работы по заявкам: получен, зарезервирован, ожидает оплаты, отправлен. Для 2007-го года это была отличная система!

Несмотря на то что сайт был шаблонный, он почти мгновенно взлетел в топ-3 поисковой выдачи «Яндекса» (еще один показатель «бирюзового океана»: конкурировать, строго говоря, было почти не с кем).

Короче, сайт выполнял все необходимые функции, не доставлял никаких хлопот, и 250 (кажется) долларов, которые мы на него потратили, казались одной из лучших инвестиций года.

До поры до времени.

Тогда к сайту у нас еще не была подключена платежная система. Для тех, кто заказывал наши товары с доставкой в другой город, был только один вариант: предоплата по квитанции с реквизитами нашего расчетного счета. Несчастным покупателям нужно было оформить заказ, распечатать квитанцию для оплаты и пойти с ней в банк, чтобы оплатить. Потом ждать несколько дней, пока мы увидим платеж на нашем расчетном счете. Только после этого мы отправляли посылку с футболкой или слингом почтой.

Да, лояльность наших тогдашних покупателей была безграничной: распечатывали, оплачивали, присылали нам сканы квитанций с отметками банков, долго ждали отправку товара.

И вот однажды на нашу электронную почту приходит письмо: «Я оплатила заказ неделю назад, но у него до сих пор статус в обработке, а не отправлен. Почему?»

Спокойно начинаем разбираться, проверяем еще раз расчетный счет – платежа нет. Просим у девушки скан квитанции с отметкой банка. Присылает. Обещаем разобраться с нашим банком и все выяснить, просим подождать еще один-два дня.

Вскоре приходит еще одно похожее письмо. А потом и еще одно… Тут уж, как говорится в известной шутке, «свинобобры вдруг начали подозревать о существовании генной инженерии». И, заглянув в админку сайта в раздел реквизитов, которые выгружались в квитанции для оплаты заказов, мы обнаружили, что вместо наших данных в реквизитах получателя денег там красуется… номер анонимного счета Яндекс. Денег (в те годы счета там еще могли быть анонимными).

Оказалось, что хакеры аккуратненько взломали сайт, заменили наши реквизиты на свои и всю неделю получали оплаты от наших розничных покупателей из регионов России. Ущерб составил двадцать с небольшим тысяч рублей (почти тысяча долларов по курсу 2007 года). Всем покупателям мы, конечно, заказы разослали – они не виноваты, что у нас оказался такой уязвимый сайт. Почитали потом форумы – оказалось, не только мы пострадали, это была какая-то системная ошибка именно этой системы управления сайтами, и хакеры успели ею воспользоваться, пока разработчики не залатали дыры и не выпустили обновления.

Мы не сделали тогда попытки получить от разработчиков скриптов денежную компенсацию за возникшие по их вине проблемы – поначалу это даже в голову не пришло, ведь это был наш первый в жизни сайт. Мы не до конца понимали, как себя вести в этой ситуации, не было опыта. Какое-то время даже искренне считали: мол, сами виноваты, раз регулярно не проверяли, чтобы в квитанциях с сайта были корректные данные.

В общем, махнули мы тогда рукой на убытки, сосредоточились на том, чтобы просто увеличить продажи. Только еще несколько месяцев подряд каждое утро начинали с проверки реквизитов в админке сайта (а то вдруг опять?!).

И решили искать подрядчиков, чтобы сделать новый, более крутой и защищенный сайт и перестать использовать скрипты, уязвимость которых обошлась нам в копеечку.

Без ТЗ и результат будет ХЗ

Мы оба – гуманитарии, и как грамотно сформулировать загадочное ТЗ (техническое задание) представляли смутно. Нормальный, солидный сайт, чтобы все работало – вот чего нам хотелось. Вместо того чтобы засесть за конкретизацию наших хотелок, мы решили довериться профессионалам. Искали простым поиском в интернете по запросу «создать сайт».

Нашли белорусских ребят, у которых был небольшой офис в Москве. Переговоры с нами вела молодая барышня, которая не могла толком ответить ни на один вопрос, отделываясь общими фразами, что у них «самая прогрессивная платформа… сайт можно будет настроить под любые наши запросы… круглосуточная техническая поддержка всегда поможет…» и прочее вранье, которое недобросовестные подрядчики заливают наивному клиенту в уши, лишь бы получить заказ.

Стоила такая разработка по тем временам достаточно дорого для нас (140 000 рублей), это было в разы больше нашего шаблонного сайта (он обошелся тысяч в десять), и мы подумали, что между ценой и качеством товара, несомненно, должна быть прямая связь.

Как же мы ошибались! Впоследствии мы в полной мере испытали на себе справедливость присказки «Без ТЗ и результат будет ХЗ». Потом, как ни смешно, еще не раз с теплотой вспоминали наш первый сайт на старых шаблонах: пусть простенько, зато там, по крайней мере, все весьма неплохо работало (не считая уязвимости в финансовой части).

Подписали договор. К сожалению, нам, гуманитариям, казалось, что ничего сложного в создании сайта с нуля не будет, мы просто получим более сложный вариант нашей «рабочей лошадки». Вдобавок по неопытности мы согласились оплачивать этим программерам довольно крупную ежемесячную сумму за постоянную техподдержку (15 000 рублей). Это вместо того, чтобы прописать четкий перечень работ, сроки и штрафные санкции за их срыв.

В итоге, как вы можете догадаться, сайт никогда не был полностью работоспособным. На нем постоянно что-то отваливалось, глючило, причем зачастую глючило то, что, казалось бы, месяц назад только отремонтировали. На рабочем компьютере с тех времен до сих пор хранится папка, забитая файлами со скриншотами. Названия у них такие: «Кривые описания», «Пропал путь в каталоге», «Проблема с фото на главной странице», «Снова проблемы с фото на главной», «Не вижу фильтр товаров», «Проблема со скидками», «Не работает авторизация», «Слетели шрифты».

Мы тратили ежемесячно 15 000 на техподдержку, а они могли годами саботировать выполнение какой-то простой задачи. Те функции, ради которых мы выбрали CMS, которую предложили эти программисты, – например синхронизацию с программой складских остатков, – они так никогда (!) и не сделали. В итоге ежемесячно копилось напряжение, общение в панели задач стало походить на перебрасывание обвинениями в суде, потом сотрудники техподдержки… вообще перестали нам отвечать!

Так дальше не могло продолжаться. Мы решили обратиться к другому специалисту, который устраивал нас по работе над другим проектом. Написали ему такое письмо:

«Здравствуйте! Хотим обсудить возможность техподдержки нашего сайта. В частности, для нас очень важны:

1. Ответственность за результат, доведение дела до логического конца (чтобы все работало без сбоев). Четкое обоснование проводимых работ с указанными трудозатратами.

2. Тестирование конечного результата – прежде чем отправить его на работу с конечными покупателями.

3. Своевременность выполнения работ. Четкие сроки, указанные в техзадании.

4. Наши ответственные сотрудники могут общаться с вами, даже если они сами не всегда могут четко объяснить техническую суть задачи (дружелюбие).

5. Вы не отфутболиваете задачи назад под предлогом того, что мы вам не предоставили «необходимый код десятого модуля системы обработки пятого алгоритма».

6. Как правило, вы всегда на связи и можете ответить нам, если это необходимо срочно.

Предыдущие варианты техподдержки не могли выполнить большую часть наших пожеланий, и мы планируем с ними расстаться».

Каждый пункт из вышеуказанного был выстрадан. Например, наша тогдашняя техподдержка часто страдала тем, что вносила правки кода прямо на рабочем сайте (вместо того, чтобы делать это на его резервной копии) и даже не удосуживалась потом проверить его работоспособность. В результате о проблемах и поломках сайта мы зачастую узнавали уже от клиентов, которые начинали звонить нам в офис и массово делать заказы по телефону со словами: «У вас сайт глючит, заказ там оформить не могу». А еще вполне обычным было обнаружить утром в субботу, что сайт «упал», и лежать в отключке он мог вплоть до понедельника – просто потому что в выходные некому было нами заниматься.

«Мы вам очень сочувствуем…»

Смена техподдержки сайта была похожа на тщательно спланированный побег из тюрьмы. Оказалось, что подрядчик хитрым образом ограничил нас в доступе к собственному сайту. Мы были в ужасе. Боялись, что если скажем им, что хотим передать обслуживание сайта другой компании, они начнут вставлять палки в колеса. Выглядело это так.

Мы: «Что же делать, что же делать?! (Бегаем по потолку.) У нас, оказывается, нет полного доступа к сайту! Эти программисты переносили сайт с предыдущего проблемного хостинга на новый и не дали нам в свое время никаких доступов… Сейчас, после всех наших разборок и конфликтов, они могут повести себя непредсказуемо, если мы затребуем все доступы. Как быть?!!»

Новая техподдержка (спокойно): «Просто скажите им, что вам нужно заливать на сервер большие файлы для партнеров, поэтому нужен доступ к нему по FTP. Нам должно хватить этого…»

Позже.

Новая техподдержка: «К сожалению, это оказалось невозможным. Можно запросить у них полную резервную копию сайта на всякий случай. Мы развернем эту резервную копию и уже с ней дальше будем работать…»

Еще позже.

Новая техподдержка: «А вы в курсе, что к вашему сайту подключена биржа ссылок, и через нее за деньги на вашем ресурсе размещаются разные другие ссылки для СЕО-продвижения других сайтов?»

Мы: «Што-а!?!?!?!»

Вот так мы выяснили, что нашу площадку используют без нашего ведома для получения левых доходов. Когда мы выразили свое возмущение, старая техподдержка даже не извинилась. Но мы уже морально настроились на то, что у нас будет обновленный сайт, и не стали требовать компенсации.

И тут новая техподдержка нас буквально огорошила:

«Мы не сможем перенести ваш сайт, к сожалению».

Мы: «Но почему?!»

Новая техподдержка: «Если вкратце, то у вас версия ABO.CMS старая, ориентированная на старое ПО, в частности php 5.2. И обновление не работает».

Мы: «О боже. Неужели ничего нельзя сделать?»

Новая техподдержка: «Мы пытались разными способами, но портировать ваш сайт на новое ПО не получилось ввиду зашифрованности разработчиком CMS ядра системы (его никак не отредактируешь)».

Мы: «Кажется, пора искать мыло и веревку…»

Новая техподдержка: «Да, это ужасно. В общем, получается, что вы в очень неудобной ситуации оказались. С одной стороны весь мир уже перешел на php 5.3, а вы со старым сайтом, с другой стороны недобросовестная текущая поддержка, которая мало того что вовремя не обновила ни систему, ни ПО, так еще и биржи ссылок вам ставит. Мы вам очень сочувствуем».

Вот это «мы вам очень сочувствуем» можно было взять в качестве девиза всей нашей многолетней работы над сайтом. К счастью, в конце концов, проблема с техподдержкой была решена. Но если вы думаете, что история на этом закончилась, ошибаетесь.

Лет через пять после того, как мы расстались с этой кошмарной компанией минских программистов, кто-то из знакомых прислал нам ссылку, чтобы уточнить, достойный ли подрядчик. Ссылка вела на сайт этих нехороших людей, там в разделе «Портфолио» висел скрин нашего сайта с подробным описанием того, как они над ним трудились. Утверждалось, что они якобы и придумали дизайн сайта (а к этому они не имели никакого отношения! Его создала наша подруга-дизайнер, они лишь прикрутили к этому дизайну систему управления сайтом), и разработали и реализовали концепцию бренда (!), успешно внедрили новый функционал сайта (!!), сделали всякие специальные сервисы (все – вранье от первого до последнего слова).

А апофеозом этого цирка была фраза, что получившийся интернет-магазин «полностью отвечал запросам заказчика и покупателей». А-а-а-а-а!!

Круговорот программистов

Новой техподдержки хватило на пару лет.

С ней, к сожалению, тоже были сложности, но уже другого плана. Программист, которого мы привлекли, отлично разбирался в сайтах, был ответственным, вдумчивым, исполнительным. На первый взгляд – подрядчик мечты. Но его компания была маленькая, и он часто сталкивался с проблемой нехватки рук и времени. Он привлекал себе в помощь фрилансеров, но не успевал их контролировать…

В конечном итоге с сайтом случился очередной коллапс: базы данных сайта стали «задваиваться», конфликтовать, сайт падал, вместо главной страницы посетитель видел красную строчку с какой-нибудь ошибкой. Программисты срочно что-то делали, латали дыры и восстанавливали базы данных, и некоторое время все работало. Потом ситуация повторялась. Проблема как будто зациклилась.

Мы все надеялись, что вот-вот сайт, наконец, заработает как надо (потому что его создавали и реконструировали уже год), как вдруг подрядчик мечты позвонил и сказал, что больше не будет нами заниматься, потому что у него появился новый бизнес-проект. Всем спасибо, все свободны.

Как? Опять? Искать новых программистов? Начинать все заново? О нет! Только не это!!! Сначала мы прошли все стадии – от гнева до принятия. Потом у нас возникла мысль попробовать новый подход.

«Если эти компании такие ненадежные, – думали мы, – то зачем переплачивать? Сами найдем фрилансера, за меньшие деньги. Он сможет делать то же самое, но мы сэкономим. А если повезет, то будет делать все даже лучше!»

Нашли фрилансера по имени Александр, быстро подписали договор, перечислили аванс, и… все закончилось, не успев начаться. На письма он не отвечал, телефоны отключил, в скайпе больше не появлялся. Алекс буквально испарился!

Мы потихоньку начали искать нового подрядчика, параллельно продолжая разыскивать человека, исчезнувшего с нашими деньгами. Недели через две, когда его уже чуть ли не Интерпол разыскивал, Александр объявился и невозмутимо сообщил:

– Мне нужно было уехать. Сейчас меня снова не будет, но у меня есть ученик.

В этот момент на заднем плане, должно быть, заиграла музыка из «Звездных войн», и голос Оби-Ван Кеноби произнес:

– Я сам обучил молодого падавана всем премудростям. Он очень хорош… Его зовут Владислав.

Наверное, только этим можно объяснить то, что мы не послали Александра в другую Галактику. Снова кого-то искать хотелось меньше всего на свете… Любые разговоры о программистах и сайтах теперь в принципе вызывали у нас повышение артериального давления, иногда вместе с нервным тиком и желанием биться головой об стену.

Ученик и вправду оказался приятным молодым человеком. Он действительно немного помог с сайтом, но постоянно сетовал, что Александр загрузил его работой и не расплатился. Под этим предлогом он регулярно клянчил мелкие переводы денег на карту.

Впрочем, вскоре и Владислав тоже предсказуемо пропал…

В итоге – с большим трудом и с учетом всех граблей, на которых мы поскакали, – нам все же удалось найти компанию, которая смогла доказать нам, что дешевле будет сделать… еще раз сайт с нуля, чем реанимировать «дохлую лошадь». И мы его снова сделали с нуля (фейспалм). И с тех пор эта фирма вот уже три года поддерживает сайт в живом состоянии: по крайней мере, он больше не падает, и в нем почти все уже работает так, как нам надо.

А если что-то не работает, то мы тренируем дзен.

Так сейчас выглядит наш сайт

Советы, которые мы бы дали самим себе о создании сайтов

Нам бы очень помогло, если бы все наши идеи и пожелания, касающиеся сайта, мы бы систематически вносили в один файл.

Это же касается и переговоров с подрядчиком. Было бы здорово, если бы все переговоры и достигнутые договоренности (особенно устные и телефонные!) позже переносились в формат переписки по электронной почте. Например, полезно сразу, в этот же день, написать письмо со списком всех договоренностей по итогам устных переговоров. Закрепить, в общем, документально. Вообще стоит очень внимательно относиться к техническому заданию на сайт и оформлению бумаг.

При выборе подрядчика следует смотреть не только на цену, но и на отзывы. И особенно тщательно вчитываться в отрицательные – все упомянутые в них проблемы, скорее всего, коснутся и вас. Кстати, весьма полезно связаться с реальными владельцами сайтов из портфолио вашего будущего подрядчика: они обычно охотно рассказывают о проблемах, с которыми столкнулись.

Многих проблем мы могли бы, пожалуй, избежать, если бы тщательнее прописывали в договоре на создание сайта гарантийные случаи и ситуации, «что будет, если…» (в смысле – кто будет в таких случаях платить).

Отдельное внимание стоит уделить правам доступа к сайту.

Глава 5
Шерше ля… автор

За окном светило солнце, люди смотрели на него и радовались жизни, а мы стояли и роняли слезы над россыпью бело-зеленых ярлычков.

Это были прекрасные вшивные ярлыки нашего собственного дизайна для наших же первых футболок. Две тысячи их лежало на столе. Они получились очень прикольные, и казалось чудовищным просто подержать их в руках, а потом выбросить. Но исправить уже ничего было нельзя…

Думать о своем бренде мы начали после того, как выпустили первую партию футболок. Ведь у нас был товар. А товар без бренда – это, как говорят, «ноу нейм». Наша торговая марка должна отражать тему материнства, детства, вероятно, грудного вскармливания.

Перебрали несколько вариантов, остановились на названии «Деметра». Великая Богиня-Мать, символ плодородия. Главным на тот момент нам казалось просто выбрать красивое название и начать продажи.

В принципе, мы не были уверены, что из нашей задумки вообще вырастет полноценный бизнес, поэтому с неймингом не особенно заморачивались.

Как вскоре выяснилось, совершенно напрасно. И проблема возникла даже не с неймингом (хотя сейчас для поиска названия бренда мы бы точно выделили времени больше, чем один вечер), а с авторскими правами.

Примерно через месяц после начала проекта, когда мы уже вовсю пиарились на форумах и зарегистрировали домен, созвучный с названием свежепридуманного бренда (домен – это имя для сайта), в голове что-то щелкнуло: «А вдруг это название уже кем-то используется?»

Кто такая мать-ехидна

Быстрый поиск подтвердил наши самые худшие опасения. Уже имелись и аналогичные бренды и даже похожие названия различных ООО (обществ с ограниченной ответственностью). Получается, что в любой момент нам могли бы подать иск о нарушении авторских прав. А ведь мы уже даже заказали вшивные ярлыки! А теперь нужно было срочно все переделывать… Конечно, подумать об этом было необходимо в самом начале. Своими же руками создали себе проблему буквально из ничего.

С названием домена для интернет-магазина решили не заморачиваться и оставить как есть, но все равно пришлось менять название бренда. Хотелось чего-то нетривиального.

Это нетривиальное название в итоге нашло нас само. И вот как это было.

Вместе с идеями естественного родительства – носить ребенка в слинге, кормить его грудью по требованию и не меньше двух лет, практиковать совместный сон с малышом – в жизнь молодых мам того периода пришли и критики.

Эти люди почему-то тяжело переживали, что вокруг них творится это ваше естественное родительство: «Зря ты ребенка носишь в слинге, ему понравится, и он же потом никогда с рук не слезет, намучаешься!» – говорили они.

«С ума сошла, грудью до сих пор кормишь? А если он до самой школы или до поступления в институт у тебя висеть на груди решит?» – доставали они страшные картины из своего воображения. «Кладешь ребенка в родительскую кровать? Не жалко тебе его психики? Вырастет несамостоятельным, а может, и с сексуальными расстройствами!» – посылали они пророчества вдогонку.

Чтобы не рассказывать каждому Взволнованному Критику, что его страхи не имеют ничего общего с реальностью, что у ребенка, сидящего в слинге и спящего в родительской кровати, все будет нормально, включая ощущение здоровой привязанности к маме и безопасности мира, родительницы того времени придумали короткое и смешное выражение-отговорку: «Да, вот такая я мать-ехидна». Произносить эту фразу надо было с нарочито тяжелым вздохом, разводя руками и демонстрируя тотальное равнодушие ко всему, чем пугали критики.

Выражение «мать-ехидна» прижилось в блогах мам и на форумах в интернете. И стало отличительной чертой своих – мам, которые разделяли идеи сознательного родительства. Мы даже шутки ради выпустили футболку для кормления, на которую нанесли принт «Мать-ехидна».

Шутка вдруг мощно выстрелила. Нет, не так: шутка просто взорвала интернет. Первую же партию этих футболок разобрали за четыре дня!.. Вторую, третью и даже десятую партию постигла та же участь. Футболка стала хитом продаж и популярнейшим мемом в интернете – это произошло за считаные недели. Если бы футболка могла говорить, она бы точно использовала выражение «проснулась знаменитой».

И нас вдруг осенило. Вот оно! Вот название для нашей торговой марки, которое уж точно запомнится людям. Мы подали заявку на регистрацию бренда «Мать-ехидна», заодно зарегистрировали и более короткий вариант – «Ехидна» (впоследствии стали использовать именно его).

Выражение прижилось…