Aylık promo budget'ım %44 fazla yandı — bir telefon numarası 3 kez %10 indirim aldı (phone hash drift, max_uses_per_customer cap bypass)

Bursa İnegöl köfteci 47 yaşında Mahmut, aylık "İlk Sipariş %10 İndirim" promo'sunu max_uses_per_customer=1 ayarıyla çalıştırıyordu. Mayıs ay sonu raporu: ₺230 burn, beklenen ~₺160. %44 fazla. Redemption log'unda bir telefon — `+90 532 123 4567` — 3 kez kullanmış. thMenu support 3 farklı phone_hash gördü. Forensik: müşteri ay içinde 3 farklı route'tan giriş yaptı — 04 Mayıs `/api/loyalty`, 14 Mayıs `/api/reservations`, 21 Mayıs `/api/waitlist`. Üç route da inline `body.phone?.replace(/[s-().]/g, "")` yapıyordu (canonical `normalisePhone()` helper PR #544 OO'da landing etmiş ama bu üç sibling route'u atlamıştı). Her route'un farklı normalization geçmişi → D1'de 3 farklı kalıcı phone_hash. Cap-check `WHERE phone_hash = ? AND code = ?` 3 farklı hash'le 3 ayrı "0 prior" döndü → cap bypass. **PR #661 batch XI F1** fix: 3 route artık `import { normalisePhone } from "../../../lib/phone-hash"` üzerinden helper'a route'lanıyor — gelecekte bidi-strip, plus-prefix normalize, leading-zero coerce gibi helper update'leri tek yerden 5 route'a yayılır. Pattern: her canonical helper landing'inde aynı PR'da grep + migrate; drift kaçınılmazdır eğer sweep ertelenirse.

İlgili makaleler