Оффтоп Andrey Frolov
4 519

Интернет-магазин «Эльдорадо» оставил данные о заказах покупателей в открытом доступе

Интернет-магазин «Эльдорадо» оставил персональные данные покупателей и их заказы в открытом доступе, заметил пользователь «Хабрахабра» Алексей Томилов. В настоящее время площадка исправила брешь в безопасности.

По словам Томилова, зайти на страницу любого заказа можно было напрямую из Google. На странице заказа можно увидеть номер бонусной карты, e-mail и имя покупателя, а также сумму заказа и данные о товарах (название, цена, количество).

После нескольких обращений «Эльдорадо» устранил проблему, сообщает Томилов. В настоящее время по ссылке из Google площадка переносит пользователя на главную страницу или показывает ошибку «Способ доставки указан некорректно».

В октябре 2014 года Томилов обнаружил, что платёжный сервис RBK Money позволяет просматривать данные о транзакциях других пользователей, переключая один из параметров в адресной строке после совершения платежа. По его словам, эта уязвимость все еще открыта.

#новость #персональные_данные #интернет_торговля #rbk_money #эльдорадо

{ "author_name": "Andrey Frolov", "author_type": "editor", "tags": ["\u044d\u043b\u044c\u0434\u043e\u0440\u0430\u0434\u043e","\u043f\u0435\u0440\u0441\u043e\u043d\u0430\u043b\u044c\u043d\u044b\u0435_\u0434\u0430\u043d\u043d\u044b\u0435","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442_\u0442\u043e\u0440\u0433\u043e\u0432\u043b\u044f","rbk_money"], "comments": 18, "likes": 13, "favorites": 1, "is_advertisement": false, "subsite_label": "flood", "id": 8059, "is_wide": true, "is_ugc": false, "date": "Wed, 06 May 2015 15:10:17 +0300" }
{ "id": 8059, "author_id": 14066, "diff_limit": 1000, "urls": {"diff":"\/comments\/8059\/get","add":"\/comments\/8059\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/8059"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199791 }

18 комментариев 18 комм.

Популярные

По порядку

Написать комментарий...
4

Уважаемые "М Видео", прошу вас скачать или выкупить базу клиентов "Эльдорадо". Затем разослать на все телефоны и электронные адреса клиентов Эльдорадо любое стебное сообщение в адрес ваших конкурентов, и закончите его фразай, типа: "У нас такой херни нет! Приходите за покупками к нам". Да и будет срач и война, пошел за попкорном.
P.S: Оплачу наликом, ну нафиг.

Ответить
0

Это как-то неправильно. Как с моральной, так и со стороны закона.

Ошибки могут быть у всех. Они отреагировали пусть не моментально, но отреагировали.

Ответить
0

Вот что бывает, когда хватает ума экономить на самом главном. Ну или не экономия, а натуральная тупость того кто нанимал на работу говнокодеров.

Ответить
3

Это конечно дело серьезное, но не стоит так жестко реагировать. Ошибки бывают у всех. К тому же они достаточно оперативно все залатали.

Ответить
0

ГУГЛ КЕШ В ПОМОШЬ. С сайта то они удалили, а с кэша гугла ещё не удален!

Ответить
2

Кто парсер напишет побыстрому? Стащим пока с гугл кеша не снесли

Ответить
–1

Облом, данные URL были внесены в robots.txt так что гугл их не индексировал. Закрыли дыру.

Ответить
1

Ой, даниче там не закрыли. Я уже качаю.

Ответить
3

Когда вышла статья - на сайте висела заглушка, но в коде страниц данные о заказах остались. А т.к. у них номер заказа передается параметром в урл, то оставалось сгенерировать все номера в допустимом диапазоне, подставить в урл, выкачать страницы, и там где есть - выдрать данные.

Вот прямо сейчас если посмотреть в код, то они кажется наконец-то выпилили код flocktory который передавал идентификационные данные клиентов. Причем я думаю всем должно быть понятно, что это нормальная практика и flocktory тут не виноват, просто страницы с которых передаются такие данные не должны быть доступны без авторизации пользователя.

Данные по содержимому заказов все еще доступны. При желании любой может их выкачать и построить картину спроса на их товары (за всю историю сайта?) с разрезом по категориями, брэндам и т.д. Конкурентам может быть интересно.

Ответить

Комментарий удален

0

вебархив следует указаниям в robots.txt

Ответить

Комментарий удален

1

E-mail уже не отображается, имя тоже. А список товаров.. Да и ладно, если он не персонифицирован. Конечно в идеале и его скрывать, но это уже не так критично.

Ответить
2

Я успел застать когда емейл еще был =)

Ответить
1

Поздравляю, знакомо это чувство )

Ответить

Комментарий удален

Комментарий удален

0

продам часть базы

Ответить
0

Продам Гараж

Ответить
0

На ярославском сайте онлайн записи к врачам www.medinfo-yar.ru можно точно так же смотреть все заявки, кто к каким специалистам обращается. Огромная часть населения города пользуется сервисом. Ссылки сейчас не найду, но если записаться ко врачу, то открывается форма успешной заявки для распечатывания - вот там можно циферки в урле поменять. Дыру уже много лет не исправляют =)

Ответить
0

Вы им об этом сообщите и прикрепите ссылку к этой и подобным новостям. На моей практике с прикрепленными ссылками скорость реакции увеличивается. А если еще статью написать и черновик им скинуть - то можно дождаться звонок на телефон (если укажете). :)

Ответить
0

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Хакеры смогли обойти двухфакторную
авторизацию с помощью уговоров
Подписаться на push-уведомления