Утечка личных данных Kassir.ru
Значит так, решил я сегодня сходить в музей Великой Отечественной Войны в Казанском кремле. Так как я являюсь счастливым обладателем Пушкинской карты, посчитал целесообразным оплатить билет через приложение госуслуги культура.
Немного помучавшись с интерфейсом приложения, нашёл таки нужный музей и экспозицию.
Тыкаю на "посмотреть цены" и меня кидает на kassir.ru. Окей, выбираю билет и кладу в корзину.
Хммм странно, а почему это в поле "оформление заказа" я вижу чужие персональные данные?! Быть может это пример правильного заполнения поля? А вот фигушки! Это персональные данные пользователя, который совершил покупку до вас на сайте. Проведя ряд манипуляций я узнал, что формы для заполнения личных данных покупателя не очищаются после оформления заказа, а становятся общедоступными. Если же вы еще и не успеете очистить корзину в момент оформления вашего заказа, то можно будет посмотреть и её содержимое.
Данный баг не работает в том случае, если вы будете оформлять заказ через вкладку-инкогнито. По крайней мере лишь так я смог так оформить заказ, иначе же в моей корзине находилось несколько билетов. Что интересно, если переходить на сайт напрямую, а не через госуслуги культура, то данные в заполняемых полях сохранены не будут.
Уважаемые пикабутяне, посоветуйте пожалуйста, куда можно пожаловаться с данным нарушением хранения персональных данных?