Geekly articles weekly

Comment sur Yulmart pour accéder aux achats des organisations non pas à travers un trou, mais à travers une porte


Il y a quelque temps, sur le site Web de Yulmart, ils ont permis de lier des contreparties légales (organisations) à des comptes physiques. personnes si elles ont déjà effectué des achats par téléphone ou en ajouter un nouveau. Pour l'identification de l'organisation, le TIN et le PPC ont été choisis, rien n'a été choisi pour l'authentification.



Au lieu d'appeler le numéro de téléphone du contact ou d'envoyer une demande par e-mail avant de lier l'organisation au compte (ces données sont précisées lors du premier achat), il a été décidé de simplement masquer de ce compte tous les achats effectués sans passer par celui-ci. La solution est loin d'être idéale, bien qu'elle remplisse sa tâche d'une manière ou d'une autre. Et tout irait bien si Yulmart n'avait pas oublié sa béquille lors du développement d'une application mobile.

Par conséquent, si vous connectez une organisation arbitraire qui a effectué des achats dans Yulmart à votre compte via le site Web, alors via l'application mobile, nous aurons accès à toutes les commandes, à la fois complétées / non achetées et actuelles. La situation est désagréable (tout de même, la confidentialité a été violée. Pourquoi quelqu'un d'autre que la taxe devrait-il savoir ce que j'achète là-bas?), Mais il s'avère que ce n'est pas le plus triste - nous pouvons annuler les commandes en cours à tout stade du paiement. Impayés à coup sûr, les payants ont un bouton d'annulation, mais n'ont pas vérifié, pour des raisons évidentes.



Il y a environ deux semaines, j'ai laissé un appel correspondant via le service avec des commentaires et des suggestions (il n'y a pas de commentaires correspondants, et les gestionnaires haussent les épaules sur la question «où écrire?»), Et quelques jours plus tard, j'ai reçu un message que les informations ont été transmises et seront corrigées dans un proche avenir. Peut-être qu'ils le corrigeront, mais jusqu'à présent, les choses sont toujours là, donc la publication sur les randonnées ne sera pas superflue. Est-ce correct?

UPD: fixe. Plus précisément, seuls le TIN et le PPC sont encore suffisants pour lier l'organisation, mais dans l'application mobile et sur le site seules les commandes passées depuis ce compte sont visibles.

Source: https://habr.com/ru/post/fr383675/

More articles:


All Articles