Tematów dotyczących sklepu internetowego KQS miałem już nie poruszać żeby nie narażać się na nagły skok ciśnienia, jednak byłoby to nie w porządku w stosunku do osób prowadzących swój sklep internetowy oparty właśnie na oprogramowaniu KQS.

Niektórzy mogą potraktować tę publikację jako receptę na pozyskanie informacji o swej konkurencji korzystającej z oprogramowania sklepu internetowego KQS. Inni zaś mogą w nerwach i obawie o utratę obecnych stałych klientów wyłączyć swój sklep internetowy. Ja jednak zalecam zgłoszenie autorowi skryptu KQS tego istotnego błędu, nad którym zaraz zacznę się rozwodzić. Nie jestem jednak pewien czy go naprawi, gdyż różnie już bywało ze zgłaszanymi poprawkami i sugestiami… ale ten temat zostawmy.

Problem dotyczy formatu generowanych linków do strony z informacją o dokonanym zamówieniu. Kupując w przykładowym sklepie internetowym opartym o aplikację KQS osmotyczne filtry do wody po złożeniu zamówienia szczegóły mogę obejrzeć pod tym linkiem (już nie działa). Jest on wysyłany w mailu z potwierdzeniem złożenia zamówienia. Tak swoją drogą to czy nie dziwi Cię to, drogi Czytelniku, że możesz bez problemu obejrzeć zawartość tej strony? Patrząc na owy link widać związek pomiędzy długą liczbą w nim występującą, a datą zamówienia, godziną, numerem ID zamówienia. Dochodzi do tego jeszcze jedna cyfra, prawdopodobnie losowa, lecz tego nie mogę stwierdzić na sto procent. Schemat jest bardzo prosty: dzień miesiąca, miesiąc, rok, godzina, minut, numer zamówienia, losowa cyfra. Zgadza się?

I jak to teraz może wykorzystać konkurencja uzyskując dostęp do informacji o zamówieniach w sklepie internetowym na oprogramowaniu KQS? Wystarczy w odpowiedni sposób zmodyfikować link żeby sprawdzić zamówienia innych klientów. Nie chcę tutaj zamieszczać szczegółowego poradnika, gdyż ten artykuł ma pełnić rolę jedynie informacyjną i zachęcić właścicieli sklepów KQS do jak najszybszej reakcji i zgłoszenia problemu autorowi tego skryptu. Jednak co sprytniejsi na pewno będą wiedzieć jak wyeliminować dużą część linków do stron bez informacji o zamówieniach. Wiadomo też, że ręcznie nikt tych adresów nie będzie modyfikować, ale na ten temat już koniec.

Dlaczego to, delikatnie ujmując, niedociągnięcie oprogramowania KQS jest tak niebezpieczne? Otóż umożliwia ono dostęp do wszelkich zamówień zrealizowanych w sklepie, łącznie z danymi osobowymi klientów oraz formami płatności i transportu. Co z takimi informacjami może zrobić konkurencja pozostawiam już tylko Twojej wyobraźni…

*Po aktualizacji oprogramowania sklepu KQS problem fatalnego zabezpieczenia informacji o zamówieniach w sklepie został usunięty. Szkoda tylko, że tak późno i dopiero po opublikowaniu tego artykułu.