TELENOWELA Januszowania z finałem w inspekcji handlowej!
Cześć!
Wykonywałem zamówienie na jednym z sklepów internetowych dla kobiet, dość duży około 250 tysięcy zamówień i tyle samo lajków na facebook (Allepaznokcie.pl). Jako #programista15k zawsze patrzę jak zabezpieczony jest sklep bo przecież tutaj też znajdą się moje dane osobowe. Nie jednokrotnie znajdywałem błąd w takich sklepach, potem naprawiali i mogliśmy się rozejść (czasami dziękowali). Jednak tym razem trafiłem na combo, którego nie mogłem zachować dla siebie ( ͡° ͜ʖ ͡°)
Wykonałem zamówienie i znalazłem błąd umożliwiający podgląd wszystkich danych zamawiających imię nazwisko, telefon, email, adres i jego zamówienie. Piękny zestaw danych do jakiegoś konkretnego ataku czy dla konkurencji.
Oczywiście jak zawsze błąd zgłosiłem telefonicznie jednak zostałem poproszony o napisanie wiadomości email na skrzynkę. Maila napisałem, opisując całą sytuację.
(Wiadomość email o występującym problemie i chęć pomocy)
Na maila nikt mi nie odpowiadał, nikt się nie kontaktował. Postanowiłem skontaktować się z portalem niebezpiecznik.pl, który wywrze na nich presję i to naprawią bo moje dane też tam się znajdowały.
Redaktor portalu niebezpiecznik też miał problemy z kontaktem, ale dał radę i błąd naprawili (po ponad tygodniu).
Myślicie, że to już koniec? Będzie lepiej.. obiecuję!
Pomimo problemów moja luba chciała jeszcze coś zamówić dla siebie. No i popełniliśmy zamówienie numer 2.
(w poprzedniej wersji w zakładce Informacje o Zamówieniu można było zobaczyć wszystkie dane użytkownika wraz z danymi do wysyłki i numerem telefonu)
(potwierdzenie płatności)
Wyżej znajduje się potwierdzenie zamówienia z ich sklepu internetowego. W miejscu Informacji o Zamówieniu znajdowały się jeszcze dane osobowe i wysyłki, ale zostały usunięte (screen robiłem dzisiaj. Może będą twierdzić, że ich tam nigdy nie było? ps. Mam gdzieś potwierdzenia, że były więc się nie wypierajcie :) ).
Zgłaszany błąd został naprawiony, ale w tak nieudolny sposób, że jak to zobaczyłem nie mogłem uwierzyć, że tak się ta to koncertowo spierdolić.
Zamiast numer zamówienia np. 1234567 był ciąg MTIzNDU2Nw== (Ty już chyba wiesz co to jest). Do "hashowania" i zabezpieczania numer zamówienia wykorzystali BASE64, który w banalny sposób można odkodować.
Kolejne zgłoszenie przez niebezpiecznik i kolejny raz naprawiają..
Na tym cała historia mogła by się skończyć (no może poza jeszcze kilkoma błędami w sklepie, dość poważnymi).
Do zamówień jako GRATIS dawali płatki żelowe pod oczy.
Dostaliśmy płatki w tym pierwszym jak i drugim zamówieniu. Śmialiśmy się nawet z moją dziewczyną, że rozdają płatki bo kończy im się data przy pierwszym zamówieniu był to grudzień, a płatki były ważne do końca roku coś około 27 grudnia.
Jakie było moje zdziwienie jak odpakowałem zamówienie i zobaczyłem te same płatki.. z zamazanymi datami. Zgłaszając im dwa błędy bezpieczeństwa, nie usłyszałem nawet dziękuję, a oni wysyłają mi przeterminowane produkty z nieudolnie zamazanymi datami. TAK! Wysłali zamazane daty, ale nie wszędzie im wyszło to perfekcyjnie i widać przebłyski..
Postanowiłem wyjaśnić sprawę..bo przecież po co od razu kręci gówno burzę.
Tego samego lub następnego dnia zadzwoniła Pani ze sklepu i twierdziła, że ich straszę, a GRATISY mogą wysyłać jakie chcą. I sprawy nie załatwiliśmy. W rozmowie telefonicznej twierdziła Pani ze sklepu, że to pomyłka i nie wie czemu daty są zmazane. Nie znoszę kłamstwa i ściemy, którą serwują nam marketingowcy i inaczej niż mówiąc, że jest to ściema i mogą ją opowiadać komuś innemu nie mogłem odpowiedzieć. Usłyszałem, że ich straszę, a gratisy mogą wysyłać jakie chcą (a nie mogą!). Inaczej niż rozłączyć się nie mogłem i oczywiście dodałem, że zgłoszę gdzie trzeba.
Kontaktowałem się z Inspekcją Handlową oraz Sanepidem i sprawę zgłosiłem. Teraz tylko czekać na efekty.
Dodatkowo przestrzegam przed zakupami w sklepie internetowym allepaznokcie.pl
ALLEPAZNOKCIE MICHAŁ SZEWCZYK
DANE ADRESOWE:
Piotrkowska 270
90-361 ŁÓDŹ
woj. łódzkie
NIP: 6292108143
REGON: 276237107