Скомпрометирована база заказов Eldorado или чем опасен ретаргетинг
Подбирая новый телефон, зашел на сайт Эльдорадо, определился с моделью и перед созданием заказа по старой памяти решил проверить, кто может узнать о моей покупке.При этом даже не пришлось оставлять свои данные на ресурсе. На помощь пришел Google с поисковым запросом, который оповестил о скрытых результатах.
В теории, со стороны поисковика некорректно отдавать такие данные, тем более, эти url закрыты в robots.txt. Но Google это проблемой не считает (я им писал).
При переходе по предложенной ссылке я обнаружил номер бонусной карты и данные о заказе: — Email— Имя— Сумма заказа— Товары (название, цена, количество)
После этого (23 апреля) я сообщил в службу поддержки Eldorado и через несколько часов получил ответ, что информация будет проверена.
Спустя неделю (30 апреля) я вновь обратился с заветному url и обнаружил, что имя покупателя и номер его бонусной карты не выводятся в web-окне. Но остальная часть данных была в html-коде, который и был открыт. Да, перебирать переменную ORDER_ID в url было не так сложно.
Многие из вас знают, что такое ретаргетинг. Вопрос полезности этой вещи оставим вне контекста. Судя по html-коду, в этот ретаргетинг передаются все вышеперечисленные данные, за исключением номера бонусной карты.
Сразу было написано письмо в службу поддержки о том, что стоит закрыть эти данные от посторонних посетителей. А 5 мая уведомление об ошибке было продублировано через соц. сеть.
Сейчас ошибка частично закрыта, за что в Эльдорадо предложили бонусы на карту. Только такой карты у меня не оказалось, а использовать чужую мне религия не позволяет. :)
p.s.: А в RBK Money данные еще открыты, несмотря на мое обращение в Facebook к директору этой системы. Как решить этот вопрос?
