Как на Юлмарте получить доступ к покупкам организаций не через дыру, но дверь

в 9:07, , рубрики: информационная безопасность, костыли, электронная коммерция, Юлмарт

Как на Юлмарте получить доступ к покупкам организаций не через дыру, но дверь - 1
Какое-то время назад на сайте Юлмарта разрешили привязывать юридических контрагентов (организаций) к аккаунтам физ. лиц, если они ранее совершали покупки по телефону или добавить новую. Для идентификации организации выбрали ИНН и КПП, для аутентификации не выбрали ничего.

Как на Юлмарте получить доступ к покупкам организаций не через дыру, но дверь - 2

Вместо того, чтобы перед привязкой организации к аккаунту позвонить на контактный телефон или отправить запрос на электронную почту (эти данные уточняются во время первой покупки), было решено просто скрыть от такого аккаунта все покупки, сделанные не через него. Решение далеко не идеальное, хотя свою задачу так или иначе выполняет. И всё бы ничего, если бы при разработке мобильного приложения Юлмарт не забыл бы про свой костыль.

В итоге если через сайт привязать к своему аккаунту произвольную организацию, совершавшую покупки в Юлмарте, то через мобильное приложение мы получим доступ ко всем заказам, как завершенным/невыкупленным, так и к текущим. Ситуация неприятная (всё таки нарушена конфиденциальность. зачем кому то кроме налоговой знать, что я там покупаю?), но, оказывается, не самая печальная — мы можем отменить текущие заказы на любой стадии оплаты. Неоплаченные точно, у оплаченных кнопка отмены заказа есть, но проверять, по понятным причинам, не стал.

Как на Юлмарте получить доступ к покупкам организаций не через дыру, но дверь - 3

Около двух недель назад оставил соответствующее обращение через сервис отзывы и предложения (соответствующего фидбека нет, а менеджеры на вопрос «куда писать?» пожимают плечами), на что через пару дней получил сообщение о том, что информацию передали и в ближайшее время поправят. Может и поправят, но пока воз и ныне там, так что публикация на гиктаймсе лишней не будет. Ведь верно?

Автор: artemerschow

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js