Dyrk.org
Do You Really Know

[OoGarden] – Vos commandes visibles par tous …

Publié le 29 avril 2016 par #Ro0t

Capture

 

Salut les amis, et excellente journée ..

 

Ayant passé commande pour mon grillage chez OoGarden
Je me suis aperçu d’une

…Toute petite chose …

…Toute petite …

… Minuscule …

… Microscopique …
… Et pourtant

 

Comme de nombreux sites de e-commerce, pour gagner du temps, et ne pas s’encombrer de dépenses « inutiles » en matière de sécurité …
les commandes sont consultables par n’importe qui  … qui disposerait du lien …

 

En vous rendant alors sur des liens formatés comme ça :

https://www.oogarden.com/Customer/OrderDetail/xxxxxxx

xxxxx représente id de la commande (Ex: 1099999, 1100000, 1100001, …)

 

Vous pourrez alors ensuite récupérer l’adresse de domicile, de facturation, les produits achetés, le prix payé …

 

Capture

 

 

Et voilà, comment de vilaines personnes expertes dans l’art crawling, se montent une petite base de données client à prospecter …

 

Espérons qu’ils corrigeront rapidement ce problème de sécurité … et que personne de mal intentionné n’ira exploiter ces données …