Какое-то время назад на сайте Юлмарта разрешили привязывать юридических контрагентов (организаций) к аккаунтам физ. лиц, если они ранее совершали покупки по телефону или добавить новую. Для идентификации организации выбрали ИНН и КПП, для аутентификации не выбрали ничего.



Вместо того, чтобы перед привязкой организации к аккаунту позвонить на контактный телефон или отправить запрос на электронную почту (эти данные уточняются во время первой покупки), было решено просто скрыть от такого аккаунта все покупки, сделанные не через него. Решение далеко не идеальное, хотя свою задачу так или иначе выполняет. И всё бы ничего, если бы при разработке мобильного приложения Юлмарт не забыл бы про свой костыль.

В итоге если через сайт привязать к своему аккаунту произвольную организацию, совершавшую покупки в Юлмарте, то через мобильное приложение мы получим доступ ко всем заказам, как завершенным/невыкупленным, так и к текущим. Ситуация неприятная (всё таки нарушена конфиденциальность. зачем кому то кроме налоговой знать, что я там покупаю?), но, оказывается, не самая печальная — мы можем отменить текущие заказы на любой стадии оплаты. Неоплаченные точно, у оплаченных кнопка отмены заказа есть, но проверять, по понятным причинам, не стал.



Около двух недель назад оставил соответствующее обращение через сервис отзывы и предложения (соответствующего фидбека нет, а менеджеры на вопрос «куда писать?» пожимают плечами), на что через пару дней получил сообщение о том, что информацию передали и в ближайшее время поправят. Может и поправят, но пока воз и ныне там, так что публикация на гиктаймсе лишней не будет. Ведь верно?

UPD: Исправили. Точнее для привязки организации по прежнему достаточно лишь ИНН и КПП, но в мобильном приложении и на сайте видны только заказы совершенные с этого аккаунта.

Комментарии (13)


  1. Rondo
    03.09.2015 12:23
    -8

    Напоминаю: Юлмарт лидирует в спортивном держании *** во рту. // Некстджен и Усиление (@turbojedi) 28 августа 2015
    Рассылка от 12 июня и сегодняшняя
    imageimage


    1. grozaman
      03.09.2015 18:53
      -1

      Успокойтесь, это просто бизнес. Если бы людей не интересовал #крымнаш, то он бы не использовал подобные слоганы. Так что проблема в людях, в первую очередь, и их интересах, а не в Юлмарте.


      1. vasimv
        04.09.2015 10:51
        -1

        Проблема, в первую очередь, в отстутствии принципов ведения бизнеса. Либо ты делаешь деньги, не паря мозг крымнашами, либо принципиально поддерживаешь точку зрения партии и правительства, не предлагая этот самый хамон.


    1. vasimv
      04.09.2015 10:46
      +1

      Индуцированная шизофрения — она такая…


  1. sankir
    03.09.2015 13:45
    -7

    Распространение информации об уязвимости в СМИ до закрытия уязвимости — медвежья услуга, как мне кажется.


    1. Shoohurt
      03.09.2015 14:05
      +12

      Да, это нехорошо, но очень часто это единственный надежный способ привлечь внимание виновных. В данном случае даже интересно, как скоро отреагирует «Юлмарт» и отреагирует ли вообще. Пока что прошло два часа…


    1. Newbilius
      03.09.2015 14:36
      +13

      Немалое число сервисов закрывает баги только после публикации в СМИ, а тёмные личности всё это время продолжают дырами пользоваться.
      Так что не всё так просто и однозначно.


  1. MetaDone
    03.09.2015 16:35
    -2

    Сомнительная дыра.
    Ок, допустим, я пытаюсь зарегистрировать компанию по инн и кпп.
    Если ее нет — вижу пустой список покупок.

    Если она есть — думаю разработчики не такие идиоты, чтоб не проверять существование организации, т.е. меня просто пошлют лесом.
    Но если я уже привязал организацию к себе, очевидно, что я как-то связан с закупками и мне нужно знать что и как покупается (бухгалтер к примеру)

    В итоге получается, что если злоумышленник не сможет получить доступ к данным о закупках произвольных существующих фирм, то это баг вывода в приложении, но не дыра в безопасности


    1. artemerschow
      03.09.2015 17:19

      Если честно, то я не до конца понял вашу мысль с «если она есть\если её нет», но вообще то в том и дело, что по сути я могу получить данные к закупкам произвольных фирм. Беру инн\кпп организации (данные открыты, да и куча сайтов по названию юрлица вам выписку из ЕГРЮЛ покажут) и, если она делала покупки в Юлмарте, то я получаю данные к истории закупок и могу отменять текущие. И неважно бухгалтер я этой организации или конкурент, которому за радость поотменять заказы из вредности или ещё чего


      1. MetaDone
        03.09.2015 17:28

        Тогда еще вопрос — баг воспроизводили с фирмой, которая уже была прикриплена к вашей учетке или же подсоединяли новую организацию? Если удалось получить данные произвольной фирмы — то все очень плохо у юлмарта, если же нет — то никакой угрозы в том, чтоб видеть свои же заказы


        1. artemerschow
          03.09.2015 17:40
          +5

          И с той в которой работаю (только они об этом не знали) и брал произвольные


  1. Ik0l
    04.09.2015 12:35
    +1

    Моё знакомство с Юлмартом закончилось уже после регистрации, когда на почтовый ящик, используемый для регистрации пришёл мой пароль в открытом виде


    1. BeLove
      05.09.2015 19:31

      Они могут отсылать его в тот же момент, как он попал к ним (как раз — при регистрации).
      Отсылаем в открытом виде на почту, хэшируем, сохраняем в базу.
      Часто встречаемый алгоритм.