DineroMail es una plataforma de pagos, con presencia en Argentina, Brasil, Chile, Colombia y México, que te permite cobrar y recibir pagos online.
Como es comun con este tipo de medios de pago, las empresas o tiendas comerciales implementan el típico "botón de pago" mediante el cual realizan el pago. El proceso de pago se realiza mediante el subdominio checkout.dineromail.com, al cual se le entregan distintos parametros mediante GET y POST con la información de la transacción.
Con una simple busqueda en Google podemos obtener un listado completo con información de las transacciones realizadas, muchas de ellas corresponden a transacciones de prueba pero existen algunas que no parecen serlo, aunque de todas formas ¿por qué hacen pruebas en producción?
Para poder acceder a este listado de transacciones debemos buscar en Google site:checkout.dineromail.com y analizar los resultados, por ejemplo analizamos un par de resultados obtenidos:
URL indexada: https://checkout.dineromail.com/CheckOut?country_id=1&merchant=1427800&language=es¤cy=ars&payment_method_available=ar_dm&item_currency_1=ars&item_name_1=Cuenta%20Premium%20DepositFiles%2014%20Dias&item_quantity_1=1&item_ammount_1=3500&seller_name=MegaCuentas.com
Corresponde a una transacción de pago del vendedor MegaCuentas.com por un valor de ARS$35,00
URL indexada: https://checkout.dineromail.com/CheckOut?country_id=1&seller_name=Fundaci%C3%B3n%20Nordelta&item_name_1=Donaci%C3%B3n&item_quantity_1=1&item_ammount_1=500.00&item_currency_1=ars&payment_method_available=ar_tnaranja,1;ar_cabal,1;ar_tshopping,1;ar_italcred,1;ar_visa,1;ar_master,1;ar_amex,1;&tool=button&merchant=donacion@fundacionnordelta.org&change_quantity=0&language=es
Corresponde a una transacción aparentemente de donación por el monto de ARS$500 a la Fundación Nordelta, quien tiene el correo de contacto donacion@fundacionnordelta.org.
Tambien podemos ingresar a estados de pagos pendientes,
Claramente corresponde a usuarios de prueba, ya que segun la URL desde donde accedemos: https://checkout.dineromail.com/CheckOut?merchant=1721561&country_id=1&payment_method_available=all&item_name_1=Ejemplo+DVD&item_quantity_1=1&item_ammount_1=12050&payment_method_1=ar_pagofacil&buyer_name=Juan+L.&buyer_lastname=Perez&buyer_sex=m&buyer_document_type=dni&buyer_document_number=12345678&buyer_phone=12345678&buyer_email=dineromail.text.checkout.002@gmail.com, el nombre del item es "Ejemplo DVD", el correo del comprador es dineromail.text.checkout.002@gmail.com y con numero de documento y teléfono de pruebas 12345678.
Google indexa aproximadamente 150 direcciones (segun sus resultados)
Es importante que las empresas que manejan este y otro tipo de información protejan correctamente los datos de sus usuarios.
Si, es poca info, pero aun asi, incluso siendo informacion de prueba, estan cometiendo dos errores:
1) Pasar ese tipo de parametros por URL
2) Permitir que sea indexado