Cześć!


Wykonywałem zamówienie na jednym z sklepów internetowych dla kobiet, dość duży około 250 tysięcy zamówień i tyle samo lajków na facebook (Allepaznokcie.pl). Jako #programista15k zawsze patrzę jak zabezpieczony jest sklep bo przecież tutaj też znajdą się moje dane osobowe. Nie jednokrotnie znajdywałem błąd w takich sklepach, potem naprawiali i mogliśmy się rozejść (czasami dziękowali). Jednak tym razem trafiłem na combo, którego nie mogłem zachować dla siebie ( ͡° ͜ʖ ͡°)


Wykonałem zamówienie i znalazłem błąd umożliwiający podgląd wszystkich danych zamawiających imię nazwisko, telefon, email, adres i jego zamówienie. Piękny zestaw danych do jakiegoś konkretnego ataku czy dla konkurencji. 


Oczywiście jak zawsze błąd zgłosiłem telefonicznie jednak zostałem poproszony o napisanie wiadomości email na skrzynkę. Maila napisałem, opisując całą sytuację. 


666d4a794542646d6254673d_JDGLtE4d6Z7qoP12aKxW62C2LrqU8LCX.jpg

(Wiadomość email o występującym problemie i chęć pomocy)


Na maila nikt mi nie odpowiadał, nikt się nie kontaktował. Postanowiłem skontaktować się z portalem niebezpiecznik.pl, który wywrze na nich presję i to naprawią bo moje dane też tam się znajdowały.


Redaktor portalu niebezpiecznik też miał problemy z kontaktem, ale dał radę i błąd naprawili (po ponad tygodniu).


666d4a794542646d6254673d_3EBvkxMUtKh7I7gCCNivqGcU7ycdZ9oC.jpg


Myślicie, że to już koniec? Będzie lepiej.. obiecuję!


Pomimo problemów moja luba chciała jeszcze coś zamówić dla siebie. No i popełniliśmy zamówienie numer 2. 

666d4a794542646d6254673d_nUD6WpvrMzvhFFxaP2sdzqcBTkqlpoei.jpg

(w poprzedniej wersji w zakładce Informacje o Zamówieniu można było zobaczyć wszystkie dane użytkownika wraz z danymi do wysyłki i numerem telefonu)


666d4a794542646d6254673d_bHDOBdeMLeW6q1z7t9e1cbdAAwhukLwg.jpg

(potwierdzenie płatności)


Wyżej znajduje się potwierdzenie zamówienia z ich sklepu internetowego. W miejscu Informacji o Zamówieniu znajdowały się jeszcze dane osobowe i wysyłki, ale zostały usunięte (screen robiłem dzisiaj. Może będą twierdzić, że ich tam nigdy nie było? ps. Mam gdzieś potwierdzenia, że były więc się nie wypierajcie :) ).


Zgłaszany błąd został naprawiony, ale w tak nieudolny sposób, że jak to zobaczyłem nie mogłem uwierzyć, że tak się ta to koncertowo spierdolić.

Zamiast numer zamówienia np. 1234567 był ciąg MTIzNDU2Nw== (Ty już chyba wiesz co to jest). Do "hashowania" i zabezpieczania numer zamówienia wykorzystali BASE64, który w banalny sposób można odkodować.


Kolejne zgłoszenie przez niebezpiecznik i kolejny raz naprawiają..


Na tym cała historia mogła by się skończyć (no może poza jeszcze kilkoma błędami w sklepie, dość poważnymi).


Do zamówień jako GRATIS dawali płatki żelowe pod oczy.


666d4a794542646d6254673d_uxmWmGyzInJ7rbzd3j58sb7w0lQ9ZYRq.jpg


Dostaliśmy płatki w tym pierwszym jak i drugim zamówieniu. Śmialiśmy się nawet z moją dziewczyną, że rozdają płatki bo kończy im się data przy pierwszym zamówieniu był to grudzień, a płatki były ważne do końca roku coś około 27 grudnia. 


Jakie było moje zdziwienie jak odpakowałem zamówienie i zobaczyłem te same płatki.. z zamazanymi datami. Zgłaszając im dwa błędy bezpieczeństwa, nie usłyszałem nawet dziękuję, a oni wysyłają mi przeterminowane produkty z nieudolnie zamazanymi datami. TAK! Wysłali zamazane daty, ale nie wszędzie im wyszło to perfekcyjnie i widać przebłyski..

666d4a794542646d6254673d_gYg48ituw0K7HeKK941XhwQ3Hu6ONmYf.jpg


666d4a794542646d6254673d_P8pNFk0adtRpcsBVnvaRiNOP5y9Lctoy.jpg

666d4a794542646d6254673d_73yjZxfrhaDcuPmAyIg8wodH869uxJsn.jpg

666d4a794542646d6254673d_293Myc1PklMw95U8yttwWnbcCEXVAovd.jpg



Postanowiłem wyjaśnić sprawę..bo przecież po co od razu kręci gówno burzę. 


666d4a794542646d6254673d_HOPVLw3NtNXQrf7j4xVbVavUHEIROSC6.jpg

Tego samego lub następnego dnia zadzwoniła Pani ze sklepu i twierdziła, że ich straszę, a GRATISY mogą wysyłać jakie chcą. I sprawy nie załatwiliśmy. W rozmowie telefonicznej twierdziła Pani ze sklepu, że to pomyłka i nie wie czemu daty są zmazane. Nie znoszę kłamstwa i ściemy, którą serwują nam marketingowcy i inaczej niż mówiąc, że jest to ściema i mogą ją opowiadać komuś innemu nie mogłem odpowiedzieć. Usłyszałem, że ich straszę, a gratisy mogą wysyłać jakie chcą (a nie mogą!). Inaczej niż rozłączyć się nie mogłem i oczywiście dodałem, że zgłoszę gdzie trzeba. 


Kontaktowałem się z Inspekcją Handlową oraz Sanepidem i sprawę zgłosiłem.  Teraz tylko czekać na efekty.


Dodatkowo przestrzegam przed zakupami w sklepie internetowym allepaznokcie.pl

ALLEPAZNOKCIE MICHAŁ SZEWCZYK

DANE ADRESOWE:
Piotrkowska 270
90-361 ŁÓDŹ
woj. łódzkie

www: http://www.allepaznokcie.pl/

NIP: 6292108143
REGON: 276237107



Statystyki zobacz

© copyright 2019 by Wykop.pl