J'avais trouve une faille un peu similaire sur un site marchant il y a ... 15ans mail direct, grand merci de leur part, et changement dans le mois qui avais suivit..

Cdiscount avait un bug aussi ou l'on pouvais voir le compte des autres client juste en changeant son ID client dans l'URL... Je n'etait pas le premier a m'en rendre compte, mais je l'avais trouve par hazard aussi