Как на Юлмарте получить доступ к покупкам организаций не через дыру, но дверь


Какое-то время назад на сайте Юлмарта разрешили привязывать юридических контрагентов (организаций) к аккаунтам физ. лиц, если они ранее совершали покупки по телефону или добавить новую. Для идентификации организации выбрали ИНН и КПП, для аутентификации не выбрали ничего.



Вместо того, чтобы перед привязкой организации к аккаунту позвонить на контактный телефон или отправить запрос на электронную почту (эти данные уточняются во время первой покупки), было решено просто скрыть от такого аккаунта все покупки, сделанные не через него. Решение далеко не идеальное, хотя свою задачу так или иначе выполняет. И всё бы ничего, если бы при разработке мобильного приложения Юлмарт не забыл бы про свой костыль.

В итоге если через сайт привязать к своему аккаунту произвольную организацию, совершавшую покупки в Юлмарте, то через мобильное приложение мы получим доступ ко всем заказам, как завершенным/невыкупленным, так и к текущим. Ситуация неприятная (всё таки нарушена конфиденциальность. зачем кому то кроме налоговой знать, что я там покупаю?), но, оказывается, не самая печальная — мы можем отменить текущие заказы на любой стадии оплаты. Неоплаченные точно, у оплаченных кнопка отмены заказа есть, но проверять, по понятным причинам, не стал.



Около двух недель назад оставил соответствующее обращение через сервис отзывы и предложения (соответствующего фидбека нет, а менеджеры на вопрос «куда писать?» пожимают плечами), на что через пару дней получил сообщение о том, что информацию передали и в ближайшее время поправят. Может и поправят, но пока воз и ныне там, так что публикация на гиктаймсе лишней не будет. Ведь верно?

UPD: Исправили. Точнее для привязки организации по прежнему достаточно лишь ИНН и КПП, но в мобильном приложении и на сайте видны только заказы совершенные с этого аккаунта.
Метки:
Поделиться публикацией
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама
Комментарии 13
  • –8
    Напоминаю: Юлмарт лидирует в спортивном держании *** во рту. // Некстджен и Усиление (@turbojedi) 28 августа 2015
    Рассылка от 12 июня и сегодняшняя
    imageimage
    • –1
      Успокойтесь, это просто бизнес. Если бы людей не интересовал #крымнаш, то он бы не использовал подобные слоганы. Так что проблема в людях, в первую очередь, и их интересах, а не в Юлмарте.
      • –1
        Проблема, в первую очередь, в отстутствии принципов ведения бизнеса. Либо ты делаешь деньги, не паря мозг крымнашами, либо принципиально поддерживаешь точку зрения партии и правительства, не предлагая этот самый хамон.
      • +1
        Индуцированная шизофрения — она такая…
      • –7
        Распространение информации об уязвимости в СМИ до закрытия уязвимости — медвежья услуга, как мне кажется.
        • +12
          Да, это нехорошо, но очень часто это единственный надежный способ привлечь внимание виновных. В данном случае даже интересно, как скоро отреагирует «Юлмарт» и отреагирует ли вообще. Пока что прошло два часа…
          • +13
            Немалое число сервисов закрывает баги только после публикации в СМИ, а тёмные личности всё это время продолжают дырами пользоваться.
            Так что не всё так просто и однозначно.
          • –2
            Сомнительная дыра.
            Ок, допустим, я пытаюсь зарегистрировать компанию по инн и кпп.
            Если ее нет — вижу пустой список покупок.

            Если она есть — думаю разработчики не такие идиоты, чтоб не проверять существование организации, т.е. меня просто пошлют лесом.
            Но если я уже привязал организацию к себе, очевидно, что я как-то связан с закупками и мне нужно знать что и как покупается (бухгалтер к примеру)

            В итоге получается, что если злоумышленник не сможет получить доступ к данным о закупках произвольных существующих фирм, то это баг вывода в приложении, но не дыра в безопасности
            • 0
              Если честно, то я не до конца понял вашу мысль с «если она есть\если её нет», но вообще то в том и дело, что по сути я могу получить данные к закупкам произвольных фирм. Беру инн\кпп организации (данные открыты, да и куча сайтов по названию юрлица вам выписку из ЕГРЮЛ покажут) и, если она делала покупки в Юлмарте, то я получаю данные к истории закупок и могу отменять текущие. И неважно бухгалтер я этой организации или конкурент, которому за радость поотменять заказы из вредности или ещё чего
              • 0
                Тогда еще вопрос — баг воспроизводили с фирмой, которая уже была прикриплена к вашей учетке или же подсоединяли новую организацию? Если удалось получить данные произвольной фирмы — то все очень плохо у юлмарта, если же нет — то никакой угрозы в том, чтоб видеть свои же заказы
                • +5
                  И с той в которой работаю (только они об этом не знали) и брал произвольные
            • +1
              Моё знакомство с Юлмартом закончилось уже после регистрации, когда на почтовый ящик, используемый для регистрации пришёл мой пароль в открытом виде
              • 0
                Они могут отсылать его в тот же момент, как он попал к ним (как раз — при регистрации).
                Отсылаем в открытом виде на почту, хэшируем, сохраняем в базу.
                Часто встречаемый алгоритм.

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.