Модуль заказов интернет-магазина был неправильно настроен, что сделало запрос информации о чьем-то заказе легкодоступным. Совершив простое действие, случайные пользователи могли просматривать данные о заказах других людей, сколько им душе угодно, без особых технических знаний. Фактически, после входа в интернет-магазин Blokker, любой человек мог вручную изменить уникальный номер заказа в адресной строке браузера и этого было достаточно.
Но какие именно данные были в открытом доступе? Их довольно много: можно было не только точно узнать, какие продукты заказали другие клиенты, но также можно было узнать имена и адреса, а также номера телефонов этих клиентов. Такая информация интересна для злоумышленников.
По-видимому, в интернет-магазине не было дополнительной формы безопасности, с помощью которой система Blokker проверяет, действительно ли номер заказа, который вы вводите в адресную строку, принадлежит учетной записи, с которой был размещен заказ, то есть учетной записи, с которой вы вошли в систему. Это и было проблемой.
Похоже, что утечка присутствует в интернет-магазине Blokker с конца октября 2020 года. Это касается данных по более чем 720 000 заказов.