¿Cómo, en Yulmart, obtener acceso a las compras de las organizaciones no a través de un agujero, sino a través de una puerta?

Hace algún tiempo, en el sitio web de Yulmart, permitieron vincular contrapartes legales (organizaciones) a cuentas físicas. personas si previamente han realizado compras por teléfono o agregar una nueva. Para la identificación de la organización, se eligieron TIN y PPC, no se eligió nada para la autenticación.



En lugar de llamar al número de teléfono de contacto o enviar una solicitud por correo electrónico antes de vincular la organización a la cuenta (estos datos se especifican durante la primera compra), se decidió simplemente ocultar de la cuenta todas las compras realizadas a través de ella. La solución está lejos de ser ideal, aunque cumple su tarea de una forma u otra. Y todo estaría bien si Yulmart no se hubiera olvidado de su muleta al desarrollar una aplicación móvil.

Como resultado, si conecta una organización arbitraria que realizó compras en Yulmart a su cuenta a través del sitio web, a través de la aplicación móvil tendremos acceso a todos los pedidos, tanto completados / no canjeados, como actuales. La situación es desagradable (de todos modos, se ha violado la confidencialidad. ¿Por qué alguien, excepto el impuesto, sabe lo que compro allí?), Pero resulta que no es lo más triste: podemos cancelar los pedidos actuales en cualquier etapa del pago. Sin pagar, los pagos tienen un botón de cancelación, pero no lo verificaron, por razones obvias.



Hace aproximadamente dos semanas, dejé una apelación correspondiente a través del servicio con comentarios y sugerencias (no hay comentarios correspondientes, y los gerentes se encogen de hombros ante la pregunta “¿dónde escribir?”), Y un par de días después recibí un mensaje de que la información se transmitió y se corregirá en un futuro próximo. Tal vez lo corregirán, pero hasta ahora las cosas siguen ahí, por lo que la publicación en hiktims no será superflua. ¿Está bien?

UPD: fijo. Más precisamente, solo el TIN y el PPC siguen siendo suficientes para vincular a la organización, pero en la aplicación móvil y en el sitio solo son visibles los pedidos realizados desde esta cuenta.

Source: https://habr.com/ru/post/es383675/