Search
Write a publication
Pull to refresh

Сайт реестра электронных повесток слил персональные данные пользователей

Reading time1 min
Views98K

Через реестр электронных повесток, запущенный 18.09.2024, можно достать личные данные пользователей, через ID аккаунта на Госуслугах.

Уже к вечеру, после запуска сайта была обнаружена уязвимость, которая позволяет любому авторизованному пользователю посмотреть все личные данные призывников.

После авторизации можно отправить API-запрос, содержащий ID юзера на Госуслугах и получить всю информацию, включая ФИО, дату рождения, прописку, ИИН, СНИЛС, данные водительского удостоверения, паспорта и других документов.

Вот в таком вот удобном формате:

Много я повидал на своем веку, но чтобы просто наружу высунуть API, которое в json персональные данные из Госуслуг возвращает - такого еще не было, это прям какой-то новый уровень проектирования системы, работающей с пользовательскими данными.

Tags:
Hubs:
Total votes 218: ↑192 and ↓26+210
Comments123

Other news