При этом даже не пришлось оставлять свои данные на ресурсе. На помощь пришел Google с поисковым запросом, который оповестил о скрытых результатах.
В теории, со стороны поисковика некорректно отдавать такие данные, тем более, эти url закрыты в robots.txt. Но Google это проблемой не считает (я им писал).
При переходе по предложенной ссылке я обнаружил номер бонусной карты и данные о заказе:
— Имя
— Сумма заказа
— Товары (название, цена, количество)
После этого (23 апреля) я сообщил в службу поддержки Eldorado и через несколько часов получил ответ, что информация будет проверена.
Спустя неделю (30 апреля) я вновь обратился с заветному url и обнаружил, что имя покупателя и номер его бонусной карты не выводятся в web-окне. Но остальная часть данных была в html-коде, который и был открыт. Да, перебирать переменную ORDER_ID в url было не так сложно.
Многие из вас знают, что такое ретаргетинг. Вопрос полезности этой вещи оставим вне контекста. Судя по html-коду, в этот ретаргетинг передаются все вышеперечисленные данные, за исключением номера бонусной карты.
Сразу было написано письмо в службу поддержки о том, что стоит закрыть эти данные от посторонних посетителей. А 5 мая уведомление об ошибке было продублировано через соц. сеть.
Сейчас ошибка закрыта, за что в Эльдорадо предложили бонусы на карту. :)
p.s.: А в RBK Money данные еще открыты, несмотря на мое обращение в Facebook к директору этой системы. Как решить этот вопрос?
Комментарии (43)
Lapteuh
06.05.2015 13:06+5В приведенном вами примере кода идёт передача параметров в Я.Метрику для сбора статистики заказов, а не для ретаргетинга. Ретаргетинг это про другое.
Для того, чтобы данные не утекали при сканировании, то надо либо скрывать приватные данные, либо закрывать авторизацией и аутентификацией. И это обязанность не поисковиков, а владельцев сайта.
lobity Автор
06.05.2015 14:04-1Там не только метрика в html-коде фигурирует. А про защищенность самого сайта я с вами полностью согласен. Гугл здесь упомянул для полноты картины, т.е. как было это обнаружено.
HeTpe3B
06.05.2015 14:13Данные не то, чтобы не скрываются, они в консоль для удобства выведены :)
Скриншот
evnuh
06.05.2015 17:17Данные о клиентах вообще не в метрику, а в flocktory идут. Это уж точно не ретаргетинг, как и метрика. При чём здесь ретаргетинг я так и не понял. Автор, удалите эти упоминания.
lobity Автор
06.05.2015 18:46+1Ан-нет. Вот пример кода:
<!-- ActionPay Retargeting --> <script> window.APRT_DATA = {pageType: 6, orderInfo: {id:5800059, totalPrice: 0}, purchasedProducts: [ {id: 71068227, name: 'Кабель INTER-STEP MICROUSB', price: 143.00}]}; </script>
Так что ретаргетинг :)
DjOnline
13.05.2015 16:45Достаточно добавить сильно солёный хэш в url, чтобы защититься от перебора номеров заказа.
Nameless_0ne
06.05.2015 14:39-5Молодцы Эльдорадо, оперативно поправили, я считаю. А проблема общая, проверил сейчас пару магазинов других и вижу то же самое.
lobity Автор
07.05.2015 13:43Эльдорадо перечислили бонусы, на которые была совершена покупка. Хорошее окончание. :)
Borz
07.05.2015 13:51ну и своего не упустили — перечислили бы деньгами, могли бы не у них отовариться…
lobity Автор
07.05.2015 17:33Это не столь критично. Ведь главное то, что было исправлено. Конечно приятно получить за это поощрение, чем я и воспользовался. Тем более, такие истории для меня не являются заработком.
BeLove
10.05.2015 20:20+1ОМГ — даже на скрине видно, что результатов — 53 (считая «левые» ссылки, не на заказы).
Зато заголовок — «Скомпрометирована база заказов Эльдорадо» и рейтинг +42.
igorna
12.05.2015 11:01+1когда есть тип посроения url в котором есть данные, то можно генерировать все возможные url — таким образом получить всю базу заказов.
Делов на 3 минуты.
Заголовок верный, но понятен только для тех кто знает что с этим делать.BeLove
12.05.2015 14:00Не спорю. Но это совершенно другая проблема и уязвимость.
При чем тут тогда гугл и его кэш?lobity Автор
13.05.2015 08:16В том, что нашел этот url именно через google. Не кэш, а просто поиск, в кэше их нет.
Уязвимость в возможности перебора идентификаторов в адресной строке с получением данных.
igorna
12.05.2015 10:58Вот, интересно как это работает. У тебя есть почта, имя покупателя и покупаемый продукт.
Неужели не было мысли о том что бы использовать эти данные.
Например предлагать человеку тот же товар со скидкой через другой магазин.
Или ещё чего?lobity Автор
12.05.2015 11:29Мысль была, чего таить, но я за честные методы.
igorna
12.05.2015 11:39+1Честность вещь хорошая.
А Эльдорадо честно оплатили вашу помощь?
Скажем так:
Вы в аэропорту находите сумку.
Открываете, а там многа денег. Очень многа денеггггг. И паспорт.
Вы идёте в полицию и те находят владельца. Крутого такого мэна, известного на всю стран, у с массой бизнесов.
Он вам говорит — спасибо большое. Вот вам карта в мой магазин, купите себе чёйнить. Например фен, любимой жене.
Это честно?
П.с. Только не надо, пожалуйста, про то что ваша совесть чиста отдав чужое. Я не про вас, я про фен.lobity Автор
13.05.2015 08:21Вымогать деньги все-равно бы не стал. Дать или нет — их решение.
Вопрос суммы — карма платящего. Во всяком случае я стараюсь придерживаться такого мнения.igorna
13.05.2015 10:16Вымогать? ни в коем случае.
Вопрос так не стоял.
Вопрос такой:
Если Эльдорадо не наняли квалифицированных программистов, для создания правильного кода, а выложили информацию открыто и без стеснений, почему правильно им об этом бесплатно сообщить, но не правильно с ними конкурировать на основе их открытой информации. Это раззззз.
Второе: Эльдорадо, узнав о подобном баге у конкурентов — сообщил бы конкуренту, в надежде на фен или другой бонус, или моментально воспользовался бы данной инфой?lobity Автор
13.05.2015 10:29Данные можно попытаться использовать, но нет гарантии того, что фразы «оно было доступно для всех» успокоят пыл дознавателя. :)
О том, что сообщил об ошибке не жалею.igorna
13.05.2015 10:44понят я не был :) Жаль :)
Всё что я хотел сказать, что это не ошибка. Это отношение. И действовать нужно иначе.
Думаю, что масса конкурентов и действовала — вы им весь бизнес убили :)lobity Автор
13.05.2015 10:52Создавать магазины по партнеркам и лить траф через email?
Думаю, что масса конкурентов и действовала — вы им весь бизнес убили :)
Печаль-беда)
Вот вам для нового бизнеса: sko.rbkmoney.ru/opencms/opencms/default/waitingPage.html?invoiceId=1063827369&language=ru&transactionId=17124294
Что и где менять поймете :)igorna
13.05.2015 11:02Создавать магазины по партнеркам и лить траф через email?
Способов миллионы.
Пока вы голову ломаете как столики донести до заказчика, у вас на руках миллионы оных, только не по столикам.
Очень прикольно.
Сначала сам добился звёзд в мейле, а теперь зачем это нужно?
Да и потом в мейле цены нет. Мэлов у меня 60 лимонов. Важен товар и имя :)lobity Автор
13.05.2015 11:13Сначала сам добился звёзд в мейле, а теперь зачем это нужно?
Да и потом в мейле цены нет. Мэлов у меня 60 лимонов. Важен товар и имя :)
Данных еще много, не только по вышеперечисленным сервисам. Как по платежным, так и по другим, просто надо повнимательней посмотреть. Думаю, с частью из них вы прекрасно знакомы.
Возможно в ближайшее время еще несколько закину.
lobity Автор
13.05.2015 13:05Очень прикольно.
Сначала сам добился звёзд в мейле, а теперь зачем это нужно?
Кстати. Посмотрите внимательней и увидите email без звездочек. Так что «обрадую» вас — email получить от rbkmoney можно не напрягаясь, но им это, видимо, не особо важно.
Selassie
13.05.2015 10:58Прям видится бизнес: робот, ищущий только что купивших, анализирующий цену на купленный товар на сайте продавца и выбирающий аналогичный товар дешевле, если это возможно, у конкурентов которые платят комиссии за покупки через CPA сети. Ну а дальше дело техники, если контакты открыты =) А уж если отменить заказ можно за человека — хотябы даже позвонив в магазин от его имени — а ему перезвонив или написав из другого магазина куда «передали заказ» — вообще хорошо. В итоге имеем схему без собственного товара, никого не обманывающую по большому счету (в смысле квалификации действий как мошенничество, а не в кармических смыслах) и работающую на одном-двух сотрудниках =)
Bo0oM
В robots.txt закрыто. Google поместил в выдачу ссылки, которые были уже опубликованы где-то (ссылок вообще 50 штук и часть из них не работает, что кагбе намекает).
lobity Автор
Все верно. Часть показывается, часть не показывается.
Bo0oM
Ну я о том, что проблема не в утечке с помощью поисковика, а именно недостаточной авторизации / разглашении информации на страницах заказов. Можно и без гугла пробрутить все айдишники (энтропия не велика).
Какие данные? Почему некорректно?
lobity Автор
Да, данные о заказах можно получить перебором order_id. Без поисковика я возможно бы и не заметил такой url. Хотя кого я обманываю. :) Просто с google проще найти оказалось.
URL, которые запрещены в robots.txt, показывать простому смертному не совсем корректно, пусть даже и не кешируя содержимое.
Хотел отдельную статью по этому поводу написать, в том числе и про общение с яндексом и гуглом по этому поводу.
Например поисковые запросы в гугле выдают интересные результаты:
site:passport.yandex.ru/passport
site:mail.google.com/mail/u
lexit
поиск filetype:ini wcx_ftp тоже выдает много интересного :)
armab
Google бывает странный.
Даже при блоке в robots.txt он может показывать страницы в выдаче, просто без сниппетов (Title, Description), только URL.
Проверено на собственном SEO опыте.
Нельзя надеяться на robots.txt