13:11
30/1/2018

Klienci sklepu Morele.net mogli uzyskiwać dostęp do faktur innych klientów.

O sprawie powiadomił nas Czytelnik, który przysłał nam link do przykładowej faktury. Mógł ją pobrać każdy zarejestrowany i zalogowany klient. Dostęp do innych faktur dało się uzyskać poprzez manipulowanie adresem, który wyglądał mniej więcej tak (to tylko przykład, a nie faktyczny adres faktury).

http://www.morele.net/faktura_elektroniczna/4143178/d9c51b4f905ad73a40
cdf74f1d09f20559737bd8f0a4fbc40cfede50e5424a4

Modyfikacja linku nie zawsze owocowała wyświetleniem faktury, ale w większości przypadków się udawało.

Przykładowa faktura.

Obawialiśmy się, że szybkie zgłoszenie usterki nie będzie łatwe, bo nie mieliśmy bezpośredniego kontaktu do kogoś z Morele.net. A jednak zgłoszenie przesłane przez formularz dotarło gdzie trzeba. Po dwóch godzinach odpisał nam przedstawiciel sklepu Wojciech Pawlik.

Bardzo dziękuję za wskazanie tej luki – w tej chwili zgłosiliśmy poprawkę systemu w trybie natychmiastowym. Mam nadzieję, że rozwiązanie nie będzie skomplikowane i zaszyfrowanie linku będzie zrealizowane do poniedziałku.

Nie musieliśmy czekać do poniedziałku. Problem został usunięty już w piątek i to o wiele skuteczniej niż w opisanym niedawno przypadku sklepu z kosmetykami. Niestety nie wiemy jak długo faktury mogły być dostępne w opisany sposób. Dopytaliśmy o to i zaktualizujemy tekst jeśli otrzymamy odpowiedź.

Aktualizacja 31.01.2018 14:41

Wojciech Pawlik ze sklepu Morele.net poinformował nas, że opisany wyżej błąd mógł się pojawić przy wydaniu kolejnej wersji, która odbywa się co dwa tygodnie (prawdopodobnie, bo trudno to określić). Co istotne, faktury elektroniczne generowane są w wypadku, gdy klient ma zaznaczoną zgodę na otrzymywanie faktur drogą elektroniczną.

Przy okazji rozmawialiśmy o jeszcze innym problemie.

Niektóre osoby zauważyły, że ich korespondencja z Morele.net jest dostępna bez zalogowania. Czasami w takiej korespondencji pojawiają się istotne dane np. adresy, nazwiska itd. I tutaj niespodzianka! Teoretycznie to klient decyduje o takim charakterze korespondencji!

W czasie wysyłania korespondencji przez system Morele.net można wybrać opcję “Ustaw korespondencję z www.morele.net jako widoczną tylko dla Ciebie“. Widoczna poniżej informacja rozwija się dopiero po kliknięciu w trójkąt po słowie “Ciebie”.

Szczerze mówiąc, byliśmy tym trochę zaskoczeni. Nasi Czytelnicy również, sądząc po napływających do nas e-mailach. Teoretycznie to klient zgadza się na “publiczną” korespondencję, ale w praktyce można łatwo przeoczyć checkbox, który domyślnie nie jest zaznaczony.

Naszym zdaniem byłoby znacznie lepiej, gdyby korespondencja była domyślnie dostępna tylko po zalogowaniu, natomiast ewentualnie klient mógłby prosić o dostęp do korespondencji bez zalogowania (co nie wydaje się dobrym pomysłem).

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

10 komentarzy

Dodaj komentarz
  1. Kilka dni temu w komentarzu do któregoś newsa pisalem wam, że bez logowania dostępne są także inne strefy serwisu które powinny być dostępne tylko dla zainteresowanych, czyli po zalogowaniu. Sprawdziłem teraz, problem nadal występuje i można uzyskać dostęp do szczegółów RMA prowadzonego aktualnie lub archiwalnego, a także do tzw. “informacji do zamówienia” czyli korespondencji sklepu z klientem na temat zmian w zamówieniu. Zaraz podeślę wam na maila przykładowe linki.

    • A czy to nie jest może na zasadzie feature’a a nie buga i chodzi o umożliwienie dostępu osobom bez założonego konta? Ale nawet jeśli to mogliby blokować takie linki osobom, które mają konto.

    • korespondencja jest publiczna jeżeli nie zaznaczysz checkboxa “Ustaw korespondencję z http://www.morele.net jako widoczną tylko dla Ciebie”

  2. Morele generalnie ma pewien bałagan w usługach. Kiedyś zmieniłem email kontaktowy w ich sklepie i teraz przy okazji zamówień przysyłają wszystkie wiadomości na nowy do momentu dostarczenia produktu do salonu. Powiadomienie o gotowości do odbioru i faktura przychodzą na stary. Już kilka zamówień tak się odbyło, a często tam nie kupuję.
    Pewnie warto by było to zgłosić i zobaczyć co się podzieje, ale średnio mam ochotę się w to bawić. Kiedyś już miałem okazję zgłaszać u nich coś na gwarancję i kontakt był bardzo utrudniony.

  3. Ja z tego sklepu sie wyleczyłem… niby ceny czasem spoko, ale raz dostałem rzecz odpakowaną a raz bez polskiej instrukcji i potem miesiąc przerabiałem ich “pomoc” – nie polecam.

    • Co do odpakowanej, to zgadzam się – tragedia. Ale instrukcja? Ciężko w dzisiejszych czasach zgooglać polską instrukcję? Naprawdę?

  4. no a co w tym adresie trzeba było iterować dla uzyskania innej faktury? widzę tylko długi hash

  5. Zaraz. Przecież w przypadku sklepu internetowego i faktury elektronicznej, korespondencja z automatu musi zawierać dane osobowe, których administratorem są Morele. Jako administratrator, odpowiedzialny jest za ich należyte zabezpieczenie i nie może spowodować, że druga strona zwolni go od tej odpowiedzialności. Dalej – o ile się nie mylę, wszelkie zgody na przetwarzanie danych osobowych nie mogą być domniemane – checkboxy dotyczące wszelakich zgód w formularzach nie mogą być domyślnie zaznaczone. Pytanie do prawnika – czy taka domyślna konfiguracja, jaką zastosowały Morele z tą poufnością korespondencji jest OK?

    • A jak dzwonisz gdzieś i słyszysz “rozmowa jest nagrywana, jeśli nie wyrażasz zgody – rozłącz się”, to nie jest to analogiczne do zaznaczonego checkboxa w sprawie zgody na przetwarzanie danych osobowych?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.