Интернет-магазин «Эльдорадо» оставил персональные данные покупателей и их заказы в открытом доступе, заметил пользователь «Хабрахабра» Алексей Томилов. В настоящее время площадка исправила брешь в безопасности.
По словам Томилова, зайти на страницу любого заказа можно было напрямую из Google. На странице заказа можно увидеть номер бонусной карты, e-mail и имя покупателя, а также сумму заказа и данные о товарах (название, цена, количество).
После нескольких обращений «Эльдорадо» устранил проблему, сообщает Томилов. В настоящее время по ссылке из Google площадка переносит пользователя на главную страницу или показывает ошибку «Способ доставки указан некорректно».
В октябре 2014 года Томилов обнаружил, что платёжный сервис RBK Money позволяет просматривать данные о транзакциях других пользователей, переключая один из параметров в адресной строке после совершения платежа. По его словам, эта уязвимость все еще открыта.
About the author