Обнаружил неприятный баг в сбермаркете
В последнее время активно пользуюсь сбермаркетом, т.к. коронавирус, все дела. И вот сегодня (19.12.2020) на мою почту приходит занимательное письмо о заказе, которого я не делал. Сначала подумал, что, может быть, меня взломали и кто-то под моим аккаунтом делает заказы... Но нет, заказ оказался не мой, а другого человека. Ну окей, перепутали и перепутали, бывает. НО при переходе по ссылке из письма я авторизовался под этим самым человеком. Предполагаю, что это происходит из-за вот этих параметров в ссылке, которую они шлют в письме:
И, казалось бы, ну и авторизовываешься и авторизовываешься ты под другим пользователем, видишь его профиль, историю заказов, можешь создавать заказы под этим человеком... И вот тут самое страшное. В сбермаркете можно привязывать карту к своему личному кабинету и тебе не нужно подтверждать заказы с помощью кода из смс, деньги сами спишутся когда заказ будет сформирован.
Т.е. случайно (из-за багов в сбермаркете) получив письмо, предназначенное другому человеку, можно получить доступ к личному кабинету и, если в этом кабинете есть привязанная карта, можно делать заказы на свой адрес (т.к. адрес можно при заказе указать любой).
Да, человек, из-под которого вы сделаете заказ, скорее всего, это заметит, т.к. сбермаркет присылает смс'ки при создании заказа и его можно будет отменить... А если не заметит?! В общем, как по мне, критичный баг, который нужно срочно править.
В тех. поддержку я написал, мне посоветовали перелогиниться да и всё (а то, что у меня есть доступ к чужому аккаунту, ну и ладно, с этим делать ничего не стали).
Ну и вроде как обещали поправить.
Но пока проблема остаётся, думаю, стоит отвязать привязанные карты тем, у кого они есть, а то мало ли.
А теперь немного мыслей о том, почему такое произошло, на мой взгляд. Случилось всё это после того как я зашёл в сбермаркет через СберID и попросил тех поддержку установить мне почту (до этого логинился через email и пароль и подобных проблем не было, а теперь подключил сберпрайм и пришлось залогинится через СберID). Самому почту в профиле менять нельзя, если ты авторизуешься через СберID, т.к. система нещадно требует пароль, которого у тебя при авторизации таким способом просто нет.
Пообщавшись с тех. поддержкой сбермаркета, я получил следующее сообщение:
Т.к. у меня на месте почты в личном кабинете был прочерк, то я ещё немного пообщался и почту мне всё-таки установили.
И вот из этих сообщений получается, что в сбермаркете есть какой-то пользовательский (видимо внутрисистемный) email и клиентский (мой, который мне доступен) и они связаны друг с другом и, возможно, установленный мне пользовательский email был не уникальным и он был установлен тому человеку, письмо с заказом которого я получил (а то и ещё кому-нибудь). Если это так, то, вероятно, этот человек получает письма с моими заказами.
В общем, берегите все себя и будьте бдительны.:) А сбермаркет, надеюсь, всё поправит (и наймёт побольше тестировщиков, а то баг на баге, хоть и проект был запущен достаточно давно).