кажется у нас стали воровать заказы ( интернет-магазин)- возможные варианты

Вы не поверите, но когда я владел магазином, у меня был доступ к двум своим конкурентам. Первый был взломан где-то за 30 минут пен-теста под пиво вечером. Второй сам нанял меня как программиста, не зная что я ещё владею бизнесом и я его конкурент. Первый до сих пор так и не закрыл дыру (они про неё не знают даже), со вторым мы поругались когда правда всплыла, хотя уже тогда я забил на свой бизнес так как он больше отнимал времени, чем приносил дохода, хотя человек был интересен и я в открытую ему двигал самые лучшие штуки (перенес их с говнохостинга, делал на совесть, предлагал улучшения, да и вообще с человеком разделяли одинаковые ценности). Кстати, первый конкурент (с дыркой на сайте) оказался очень гнилым, это я понял когда увидел количество негативных отзывов, и форму для публикации липовых отзывов в карточке с товаром, но заказов у них было около 30-40 в день (это пик в моей нише). Второй конкурент продавал на порядок хуже, максимум 10 заказов в день, но с отзывами работали так, будто каждый клиент должен уйти довольным. Это к вопросу о карме и балансе сил в этом мире.

Я бы посоветовал вам:

сначала:

• включить максимально-информативное логгирование
• веб-сервера (все HTTP методы) - и грепать самые длинные строки, на поиск SQL инъекций, а также сделать выборку всех IP которые ходят к бекенду
• ssh - если это хостинг с поддержкой - спросить логи у них, если это VPS - настроить самому и мониторить
• настроить CSP, с учетом report-uri/report-to на какой-то URL, на этом урле должен быть код который пишет пост запросы в файл
• просканировать на шеллы и эксплойты

После чего:

• если это VPS, оставить наружу торчащим только 80/443 порт и для ssh port-knocking/аутентификацию по ключам.
• сменить куки, сменить все пароли у всех менеджеров (отдельно стоит сходить в базу и поискать у кого может стоять чекбокс is_root = 1, условно, может отличаться)
• если у движка есть API - сбросьте все токены, по API можно тягать заказы. К слову в одном очень популярном движке интернет-магазина после установки у рутового аккаунта создается ключ АПИ, который не меняется и актуален на протяжении всей жизни магазина :) Если кто-то посмотрел этот ключ, он может ходить в базу до бесконечности, и нет даже кнопки в админке чтобы сбросить или сгенерировать новый

Почему сначала/после? Потому что сначала вы можете поймать на горячем, после - закрыть дырку и прекратить безобразие.

Я не сторонник верить в совпадения, особенно учитывая что несколько раз подбирал пароль с первой попытки (в основном от Wi-Fi), поэтому ищите либо слабые пароли менеджеров либо дырку в сайте.

Возможно имелось в виду, что имея доступ к метрике я могу создать сегмент пользователей в аудиториях и транслировать рекламу только на них из директа. Ну и соответственно в зависимости от посещенных пользователями страниц показывать ту или иную продукцию в рекламе.

скорей всего именно так

Я читаю что написано:

а это совсем не о том.

Попросите клиента переслать email - подтверждение заказа.

Также проверьте почту администраторов на предмет редиректов - письма о заказах могут дублироваться на разные ящики

CMS после заказа может отдавать клиенту страницу-подтверждение типа .../successful-order/d34jdf5, на которой могут быть детали данного заказа. Если есть доступ к аналитике с настроенными на заказ целями - эти страницы отслеживаются. Даже если целей нет - страницы можно отследить по точкам выхода с сайта

danforth, на серверной стороне никто не делает

ну, кроме вас )

делают, обычно, на клиентской - джаваскриптом

почему 1/20 заказ - потому, что крадется лид заведомо хороший и заведомо не провакационный у которого хороший реф, хороший айпи, хорошее время захода и т.п.

ТС не найдет причину, для это надо быть тех спецом, а он сам себе одмин

через нескольких месяцев мучений просто поменяет целиком сайт