web analytics
BlogInternet

Datele din comenzile online sunt publice

Ca început al articolului aş vrea să aduc aminte de câteva articole anterioare extrem de utile:

Astăzi am plasat o comandă la o florărie online de pe telefonul mobil. Plata prin card bancar, simplu şi rapid. Când am ajuns acasă am văzut că aveam un email din partea florăriei în care mi se dădea un link de urmărire a comenzii. Am deschis linkul respectiv si am putut să văd istoricul acţiunilor mele asupra comenzii (cand am lasat comment, cand am plasat comanda, cand am incercat sa platesc cu cardul si am introdus o cifra gresit, cand am platit efectiv cu cardul). Problema este alta : nu eram logat in panoul de utilizator iar linkul avea un ID nu token.

Folosind exact metoda din articolul legat de vulnerabilităţi ce trebuiesc raportate, nu exploatate, am sa ma ocup mâine dimineaţă (e ora 04:00 acum) de raportarea acestor vulnerabilităţi. La o simplă căutare Google a bucăţii de link din comanda, am găsit cel puţin 2 florării în RO şi 6 librării online care folosesc acelaşi CMS.

Am o rugăminte pentru administratorii de magazine online : protejaţi-vă datele ! Protejaţi-vă clienţii ! Îmi era destul de uşor să dau link către interogarea Google pentru ca haterii să folosească datele în scop personal. Problema este că CMS-ul folosit include factura proformă în linkul de urmărire a comenzii, ceea ce înseamnă : nume, prenume, adresa, numar de telefon, email. toate aceste date sunt trecute atât pentru câmpul de cumpărător cât şi pentru cel al destinatarului. În cazul florăriilor destinatarul este în proportie de 9/10 comenzi o altă persoană cu alte date de identificare. De o oră tot mă uit peste facturi, date ale clienţilor, preferinţe în literatura şi mă întreb : ce fel de administrator web poţi fi dacă laşi datele publice? De ce ai alege acel CMS de e Commerce ? Doar pentru că arată bine nu înseamnă că este cel mai bun. S-a inventat PrestaShop, ShopMania şi mulţi alţii.

Distribuie articolul pe:
TwitterFacebookGoogle+

  1. […] Despre subiectul datelor private care defapt sunt publice, am scris mai mult decat despre orice subiect pe acest blog. Intr-un articol am facut chiar si o colectie (la începutul acestuia) de linkuri cu articole pe tema datelor private sau discutiilor private ce apar pe internet doar din lipsa de cunoștințe tehnice sau ignoranta unora dintre noi. (Link) […]

    Cristian Iosub