Affiliate paneli açık DevTools — anon-key ile rakibinizin postback URL'ini ve YTD-paid komisyonunu okuyabiliyor musunuz?

São Paulo'da 35 yaşında growth marketer Carolina, payout-status panelindeki bir UI bug'ını araştırırken DevTools'tan tek bir `await window.__sb.from('affiliate_postback_log').select(...).limit(50)` ile 47 farklı affiliate'in postback URL'lerini, response excerpt'lerini, commission ID'lerini geri çekti. Üç Supabase tablosu (postback_log + tier_events + 1099_alerts) `ENABLE ROW LEVEL SECURITY` olmadan ship edilmişti. PR #603 batch BBB F1: per-affiliate USING policy + service_role bypass migration. Default-allow anon-key reads multi-tenant SaaS için neden bir footgun.

İlgili makaleler