Perigo! Privacidade do cliente exposta - boleto

Olá, ao fazer testes com a forma de pagamento por BOLETO, contatamos que quando o cliente escolhe esta opção, no final da compra aparece o seguinte link para ele emitir o boleto: https://www.nossaloja.com.br/checkout/5434/pagador/boleto?formato=pdf

No caso “nossaloja”, seria nosso domínio, troquei aqui para não expor nosso dominio.

O problema é que o cliente, se quiser, pode ver boleto de qualquer outro cliente, estando ou não logado na loja, usando este link, bastando alterar o nr. do pedido, que no caso acima é 5434, ou seja, terá acesso a qualquer pedido, com os dados dos demais clientes.
Para resolver isto, bastaria a LI incluir no link, o CEP cadastrado por exemplo, assim, já impediria o livre acesso.

Oi Guedes, passei esse bug para nossa equipe de desenvolvimento avaliar isso.

Obrigado pelo report!