Isso mesmo. Não, esta não é a loja virtual das Casas Bahia. Se fosse, não seria falha de segurança, seria compromisso de marketing para evitar multas do CONAR.

Ao detectar a falha eu efetuei outras duas compras do mesmo produto tentando finalizá-la com um valor cada vez menor do que o anterior. E para minha perplexidade, foi um sucesso.
Felizmente (ou infelizmente – como disseram alguns amigos), eu não paguei o boleto de nenhuma das compras irregulares. Voltei, e re-fiz o terceiro pedido sem me aproveitar da falha, e o paguei. O pedido chegou no prazo, exatamente como eu queria.

Resolvi então enviar um e-mail para os responsáveis do portal informando detalhadamente sobre dois erros que encontrei, incluindo este. Falei que poderiam cancelar os pedidos que gerei com valor com descontos e informei o numero do pedido correto. Aí a surpresa foi maior ainda. Veja o que responderam:

“Prezado Sr. Ricardo

Agradecemos imensamente o seu contato conosco!
Informamos que o seu pedido número 123456 foi cancelado em nosso sistema.
Recebemos o seu e-mail como uma sugestão muito importante para o desenvolvimento do nosso site.
Queremos deixar expressos que o nosso objetivo é sempre visar à plena satisfação de nossos clientes.

Caso desejar quaisquer outros esclarecimentos, queira por gentileza entrar em contato, que estaremos à disposição! (…)”

A impressão que tive, é que a pessoa do outro lado não tinha a menor idéia do que eu estava dizendo.
Hoje eu tenho certeza, pois no próximo dia 26(Abril/08) faz 4 meses que informei sobre o problema, e a falha ainda está lá, disponível para qualquer curioso de tecnologia ou programador como eu comprar com 10, 20, 50 ou 99% de desconto.

Grandes portais como Americanas, Submarino, e outros, chegam a ter 1 ticket de compra emitido a cada 10 segundos. É praticamente impossível encontrar quem pagou 90% ou 99% menos por um produto se aproveitando de uma falha de segurança.

Acredito que quando isso for descoberto, se houver uma maneira de mensurar quantas pessoas não se aproveitaram desta falha, será um dos maiores prejuízos já vistos no ecommerce nacional.

Quando isto ocorrer, eu então divulgarei o nome da loja, o e-mail completo, e aquela frase básica: EU AVISEI!