10 августа 2018 в 11:05 (МСК) | сохранено

H Утечка персональных данных МосОблЕирц в черновиках

Открытые данные, Информационная безопасность

Дисклеймер: да, я пытался связаться с разработчиками. Нет, ответа не было. «Дыре» скорее всего столько же лет, сколько и их мобильному приложению, и возможно ей уже давно кто-то пользуется. И я до конца не понимаю, это везде декларируется как фича, просто никто не думал, что можно батчем начислить 2.4 миллионам обслуживаемых абонентов рандомные расходы по счетчикам. Ну и получить их ФИО\адрес, как минимум. Может и правда, ничего такого в этом нет. А может, просто пока Рублевка и другие интересные места не обслуживаются ими, но скоро будут. И тогда врядли жители этих мест порадуются, что можно будет хоть на карте с аватарками их показать.

Предыстория: коллега живет в Московской области, скачал себе приложение, указал свой ЛС счет (который печатается на квиточке), а потом то ли ошибся, то ли тупо попробовал указать счет на +1 больше. Автоинкремент типа. И получил вместо своей 57-ой квартиры — следующую, 58ую.

В общем дальше дело было нехитрое, оказалось что один раз авторизовавшись (просто любая почта с паролем), можно спокойно со своей сессией подставлять подряд 8-и значный код ЛС, и в ответ получать фио\адрес. Опытным путем было установлено, что первые три цифры определяют город. Начислять данные по счетчикам чужим ЛС тоже, разумеется, можно. Программным способом начислять не пробовал, и надеюсь, никто не попробует.

В эндпойнте фигурирует имя SmorodinaProxy, которое нас приводит к смородина.онлайн (ООО АБР Регион), а вот выигранный ими тендер на 4.1 млн рублей — архив мособлеирц.рф/upload/iblock/430/430fdedeef279f23c353c83ecd2b9df1.7z

+18

~2000

bofh

комментарии (7)

Sabubu , 10 августа 2018 в 11:18 (МСК)

Будут ли последствия за такую уязвимость?

bofh , 10 августа 2018 в 11:22 (МСК)

если только для того, кто ее нашел, как у нас часто бывает.

AlexanderS , 10 августа 2018 в 11:42 (МСК)

Ой да ладно вам, у них там примеров так же полно, когда начинают прессовать инициатора.

Просто меня удивляет, как люди, которые вроде как должны профессионально заниматься своей деятельностью умудряются организовать свою работу так, что подобная информация просто не учитывается. Дело даже не в косяках: ну у кого их не бывало? Дело в том, что пока подобные случаи не попадают в паблик организациям свойственно вообще не шевелиться. Как-будто нет проблемы. Ладно, допустим обращение может затеряться в спаме. Но кто запрещает сделать программу вознаграждения, в, допустим, условную 1000 рублей, чтобы повысить вероятность обнаружения именно технически дельного обращения? Ведь это ж не ответственность по созданию какого-то там сайта-визитки. ПД, счета людей… Что? Баунти? Не, не слышали, мы вообще кокосы не любим, да…

Evgeniy_Van , 10 августа 2018 в 11:21 (МСК)

Хах) два года прошло с того, как я сам наткнулся на такой функционал. Не думал, что увижу на Хабре) а вообще это очень странно, вот так просто любому аккаунту давать доступ ко всей базе, так ещё и без защиты от брутфорса

sha4 , 10 августа 2018 в 12:01 (МСК)

Ну теперь они ФИО выпилят, а от адреса оставят только номер помещения.

DLavruhin , 10 августа 2018 в 11:47 (МСК)

Еще в копилку:
1. http://oao-elektroset.ru/
2. Справа — оплатить квитанцию. Вводим номер лицевого счета.
3. Последние 3 цифры(ХХ0) для моего дома — номер квартиры и 0 в конце.
4. Получаем форму с суммой оплаты, которая соответствует текущей задолженности.
Соответственно используя такой не хитрый алгоритм можно посмотреть кто из соседей сколько должен\платит.

d_ilyich , 10 августа 2018 в 11:59 (МСК) * (был изменён)

Раз уж пошла такая пьянка :)
«НижегородЭнергоГазРасчет» (https://www.gas-nn.ru/)

Вход в личный кабинет — Фамилия плательщика и номер счёта. Да, тут сложнее — фамилию надо знать, и номер счёта не обязательно по порядку.

А ещё они в квитанции указывают стоимость кубометра газа с 5-ю знаками после запятой, что противоречит законодательству. Сказали — для удобства.