Подбирая новый телефон, зашел на сайт Эльдорадо, определился с моделью и перед созданием заказа по старой памяти решил проверить, кто может узнать о моей покупке.
При этом даже не пришлось оставлять свои данные на ресурсе. На помощь пришел Google с поисковым запросом, который оповестил о скрытых результатах.
В теории, со стороны поисковика некорректно отдавать такие данные, тем более, эти url закрыты в robots.txt. Но Google это проблемой не считает (я им писал).
При переходе по предложенной ссылке я обнаружил номер бонусной карты и данные о заказе:
— Email
— Имя
— Сумма заказа
— Товары (название, цена, количество)
После этого (23 апреля) я сообщил в службу поддержки Eldorado и через несколько часов получил ответ, что информация будет проверена.
Спустя неделю (30 апреля) я вновь обратился с заветному url и обнаружил, что имя покупателя и номер его бонусной карты не выводятся в web-окне. Но остальная часть данных была в html-коде, который и был открыт. Да, перебирать переменную ORDER_ID в url было не так сложно.
Многие из вас знают, что такое ретаргетинг. Вопрос полезности этой вещи оставим вне контекста. Судя по html-коду, в этот ретаргетинг передаются все вышеперечисленные данные, за исключением номера бонусной карты.
Сразу было написано письмо в службу поддержки о том, что стоит закрыть эти данные от посторонних посетителей. А 5 мая уведомление об ошибке было продублировано через соц. сеть.
Сейчас ошибка закрыта, за что в Эльдорадо предложили бонусы на карту. Только такой карты у меня не оказалось, а использовать чужую мне религия не позволяет. 🙂
p.s.: А в RBK Money данные еще открыты, несмотря на мое обращение в Facebook к директору этой системы. Как решить этот вопрос?
ссылка на оригинал статьи http://habrahabr.ru/post/257381/
Добавить комментарий