Aktywne Wpisy
mirko_anonim +438
✨️ Obserwuj #mirkoanonim
Mirki jest inba w mojej rodzinie. Rodzony brat lvl 29 miał dziewczynę, z którą 3 lata mieszkał. Dziewczyna zaszła w ciążę, mieli brać ślub po urodzeniu. Ale pod wpływem plotek, które okazały się prawdziwe, przed zawiadomieniem urzędu o narodzinach dziecka i sporządzeniu aktu urodzenia, bez wiedzy matki, zrobił testy DNA. Jak się domyślacie - nie jest ojcem. I w normalnych warunkach byłoby po sprawie: nie mają ślubu, zero zobowiązań,
Mirki jest inba w mojej rodzinie. Rodzony brat lvl 29 miał dziewczynę, z którą 3 lata mieszkał. Dziewczyna zaszła w ciążę, mieli brać ślub po urodzeniu. Ale pod wpływem plotek, które okazały się prawdziwe, przed zawiadomieniem urzędu o narodzinach dziecka i sporządzeniu aktu urodzenia, bez wiedzy matki, zrobił testy DNA. Jak się domyślacie - nie jest ojcem. I w normalnych warunkach byłoby po sprawie: nie mają ślubu, zero zobowiązań,
mickpl +575
Pizzeria na Jagodnie przywiozła stojącym w kolejce do głosowania 300 placków i nie chciała za to pieniędzy. Pracownicy zostali po godzinach.
Ludzie zachwyceni, fajna akcja.
Wyborcy pis ich od tygodnia hejtują, wysyłają pogróżki, wyzywają od ruskich onucy i piszą że to Niemcy zasponsorowali.
pis nie ma wyborców tylko wyznawców, a bycie pisowcem to jednak stan umysłu XD
#polska #hejt #polityka #wybory #pizza #wroclaw
Ludzie zachwyceni, fajna akcja.
Wyborcy pis ich od tygodnia hejtują, wysyłają pogróżki, wyzywają od ruskich onucy i piszą że to Niemcy zasponsorowali.
pis nie ma wyborców tylko wyznawców, a bycie pisowcem to jednak stan umysłu XD
#polska #hejt #polityka #wybory #pizza #wroclaw
LPP posiada kilka sklepów pod różnymi adresami w zależności od marki. Różnią się kilkoma detalami, ale ogólnie „stoją” na tym samym oprogramowaniu. #reserved #cropp
Skupiając się głównie na RESERVED mogliśmy znaleźć taki URL :
https://www.reserved.com/pl/pl/checkout/order/created/order_id/{orderid}/
Zmienna orderid jest identyfikatorem w formie rosnącej (z analizy wynika, że zwiększa się o 2).
Przykładowe order_id :
XX340633
XX350633
XX350635
XX350835
Tutaj można było zauważyć, że to klienci z całego świata po imieniu, nazwisku i adresie e-mail.
Dane jakie można było pozyskać dla zamówień to :
Widoczne na stronie :
- Email
- Numer zamówienia
- Forma płatności
- Status zamówienia
Widoczne po sprawdzeniu źródła strony :
- Kwota zamówienia
- Koszt wysyłki
- Wykorzystany kupon rabatowy
- Informacje o zakupionych produktach (nazwa, kwota, ilość)
Powyższe dane były widoczne w kodzie źródłowym ponieważ były wysyłane do Google Analitycs (sic!).
Tak! Wysyłali do Google Analitycs dane, które mieli bo pewnie tak było łatwiej marketingowi analizować słupki :P
Ze względu na małe różnice względem każdego brandu dane widoczne na stronie (email, numer zamówienia, forma płatności, status) były dostępne tylko w Reserved i Cropp, a widoczne po sprawdzeniu źródła już dla wszystkich.
Skala problemu była tak wielka, że obejmowała wszystkie zamówienia. Wystarczyło iterować się po kolejnych identyfikatorach i pozyskiwać dane zamówień oraz klientów.
Pokazuje to jak niewielką wiedzę odnośnie IT i bezpieczeństwa potrzebują oszuści w celu wyłudzenia danych odnośnie Waszych zakupów i tego co kupujecie w sieci. Dane mogą potem ładnie zostać wykorzystane do wyłudzeń. Sklepy same wystawiają się na strzała :)
Dodatkowo od dłuższego czasu zauważam, że coraz bardziej po macoszemu podchodzi się do kwestii bezpieczeństwa aplikacji. Od poprawnego zabezpieczenia kont klientów po wrażliwe dane w kodzie źródłowym bo #javascript i tak będzie szybciej i łatwiej. Uważajcie co dajecie na froncie!
btw. fajnie jakbys zrobil jakis tag z takimi informacjami, pewnie nie tylko ja obserwowalbym chetnie
https://www.reserved.com/pl/pl/checkout/order/created/order_id/{orderid}/{randhash}
?