Comments 6
Давайте в двух словах перескажем то, чему вы посвятили этот топик.
Итак, насколько я понимаю, перебирая различные варианты бонус-кода вы можете определить ФИО человека, которому принадлежит этот код и дату его рождения? Это всё?
В принципе, не так уж страшно. Бага — это да.
Итак, насколько я понимаю, перебирая различные варианты бонус-кода вы можете определить ФИО человека, которому принадлежит этот код и дату его рождения? Это всё?
В принципе, не так уж страшно. Бага — это да.
Вы хотите еще номер банковской карты с CVV кодом?
Я хочу определить критичность этой проблемы. Вообще. И для себя лично.
Даже не в свете того, насколько существенна уже описанная проблема, а понять — какие «подводные камни» существуют в подобных технологиях.
Вообще-то ФИО и дни рождения можно найти и более простым способом — в подавляющем большинстве компаний список сотрудников хранится во внутренней сети, а именинники выставляют тортики. Так что я делаю [субъективный] вывод — данная проблема на сайте РЖД не является сколько-нибудь критичной.
Это не значит, что багу не надо поправить.
Но это и не значит, что после исправления баги эти ваши персональные данные будут сильнее защищены.
Даже не в свете того, насколько существенна уже описанная проблема, а понять — какие «подводные камни» существуют в подобных технологиях.
Вообще-то ФИО и дни рождения можно найти и более простым способом — в подавляющем большинстве компаний список сотрудников хранится во внутренней сети, а именинники выставляют тортики. Так что я делаю [субъективный] вывод — данная проблема на сайте РЖД не является сколько-нибудь критичной.
Это не значит, что багу не надо поправить.
Но это и не значит, что после исправления баги эти ваши персональные данные будут сильнее защищены.
Страшно, что общедоступность ПД является обязательным условием пользования сервисом. Это по меньшей мере некрасиво.
Кстати, кто-нибудь уже собрал на коленке брутфорсер loyaltyCardNumber`ов?
Кстати, кто-нибудь уже собрал на коленке брутфорсер loyaltyCardNumber`ов?
Кстати, у этого поста есть продолжение. В декабре 2023 года утекли данные о заказах в РЖД с 2014 по 2017 год. И паспортные данные там были реальные. А если телефон указывали, то и телефон.
Sign up to leave a comment.
e-Ticket misunderstanding