Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 28
А место доставки менять и забирать чужое нельзя было?
Сталкивался с еще одной уязвимостью одной транспортной компании. Когда отправляешь посылку человеку, который уже получал посылки той транспортной компании, в выборе способа доставки в личном кабинете можно выбрать собственно пункт выдачи или доставку на один из известных транспортной компании адресов получателя. И я, отправитель, получаю возможность увидеть все эти адреса получателя.
У меня в черновиках есть статья про одну украинскую службу доставки и одну российскую с похожими уязвимостями. Опубликовать, что ли…
Не понимаю, почему название компании и сайта скрыты, а автор оправдывается, что не хочет никого очернить. И призывает внимательнее выбирать сервисы. Публикация названия как раз и помогла бы делать этот выбор, избегая сию шарагу.
Если есть спрос, сегодня напишу про транспортную, которая позволяет смотреть личные данные по ВСЕМ отправкам, а не только по активным. Там вообще жесть — доступ к накладной для распечатки, на которой куча личных данных, осуществляется по ссылке xxxx/orderid=z, где z любой номер накладной с момента основания компании. Предупреждал их раз 5, с первого раза уже год прошел, так что имею моральное право выложить.
www.XXXX.ru=www.spsr.ru
А то вдруг кто не догадался.
А то вдруг кто не догадался.
«В прочем, со мной представитель компании не связывались.» — ниже их достоинства, не иначе. Спасибо за статью!
>На сегодня (спустя почти три недели) брешь, вроде бы, закрыта.
C хешем 01cfa7ac80a5 получил накладную и номер телефона.
На сколько я понял у них есть какая-то капча:
+ login.js, если я верно понял как раз и рассчитывает хэш.
Я не веб-девелопер/безопасник/программист, так что могу скорей всего и ошибаться. :)
C хешем 01cfa7ac80a5 получил накладную и номер телефона.
На сколько я понял у них есть какая-то капча:
img id="captchaimg" src="php/lib/kcaptcha/?key="
+ login.js, если я верно понял как раз и рассчитывает хэш.
Я не веб-девелопер/безопасник/программист, так что могу скорей всего и ошибаться. :)
На самом деле все плохо. По всей видимости, когда я писал статью, на сайте велись работы, и уязвимость не проявилась. В субботу я получил очередное СМС-сообщение о скором прибытии груза и убедился, что уязвимость не закрыта. Да, они по-прежнему светят телефонами своих клиентов после доставки (и не знаю, сколько они по времени светятся) + доступны личные кабинеты с прочими данными. Вчера я повторно обратился к ним, написав на почту, с которой мне ответили в прошлый раз, но пока тихо. Если до вечера не будет ответа, отредактирую статью — укажу, кто это такие, и напишу жалобу в Роскомнадзор.
Капча есть, но она отключена.
Капча есть, но она отключена.
Брешь вроде пытались закрыть, но телефоны получить можно. Я бы посоветовал выложить уже телефоны, полученные методом подбора, и отправить Роскомнадзору как результат их работы. Уверен, что в учебных целях, перебор уже произведен… Осталось выложить на файлообменник и выдать ссылку на почту РКН.
Я, в общем-то, так и сделал — во втором напоминании я отправил не пару, как в первый раз, а свыше полутора сотен скринов. Плюс дал ссылку на эту статью, пообещав добавить в текст и заголовок их наименование. Мне опять не ответили, но с сегодняшнего утра я уже не могу воспроизвести описанную в статье ситуацию — телефоны не отдаются, автологина нет — лк недоступны. Проверял с разных IP. Если у Вас иная ситуация, пожалуйста, напишите мне в лс.
Понятно, что клепать сайты не их специализация, но разве они не могли заказать сайт у профессионалов, чтобы как минимум не было таких позорных дыр?! Впрочем, о чем это я! Обычно начальство мелких контор все делает так, чтоб «подешевше» и чтоб прибыль получать уже вчера. :(
А какими последствиями для организации может обернуться жалоба за такое неряшливое хранение персональных данных? И куда её в подобных случаях стоит отправлять?
Видел подобную реализацию у нескольких агрегаторов новостей еще очень много лет назад. Линки внутри письма имеют хеш+user_id тэг. При переходе тебя приветствуют по имени (приятно) и дают возможность редактировать состояние подписки как на этом сайте (неприятно), так и вообще по данному аккаунту (обычно — мейл). Последнее уже совсем неприятно. Как результат — тебя периодически подписывают на не тематические новости или рассылки других стран (ну не читаю я на греческом).
На вскидку — МирТесен, Рассылки Института Юрия Морозова (или Мороза — не помню). Лет 15 назад эти грешила подписка от Subscribe.ru
На вскидку — МирТесен, Рассылки Института Юрия Морозова (или Мороза — не помню). Лет 15 назад эти грешила подписка от Subscribe.ru
Статья 272. Неправомерный доступ к компьютерной информации
Статья 137. Нарушение неприкосновенности частной жизни
вот тот человек, фактически нарушил эти пункты, фактически взломал их сайт с целью получения информации ПДн
Плохо закрытая дверь еще не означает что ее надо вскрывать
Статья 137. Нарушение неприкосновенности частной жизни
вот тот человек, фактически нарушил эти пункты, фактически взломал их сайт с целью получения информации ПДн
Плохо закрытая дверь еще не означает что ее надо вскрывать
А вот и представители компании подтянулись :)
Давайте по порядку.
Статья 272 УК РФ предусматривает ответственность за неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации. При этом неправомерным считается доступ к конфиденциальной информации лица, не обладающего необходимыми полномочиями (без согласия собственника или его законного представителя), при условии обеспечения специальных средств ее защиты («Методические рекомендации по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации» (утв. Генпрокуратурой России)). Специальные средства защиты информации обеспечены не были. Автоматическая авторизация при прохождении по ссылке не считается средством защиты вообще. Я уж промолчу про ее «специальность». Данные не были защищены вообще, при этом отдавались по протоколу http (что, кстати, влекло их передачу по телекоммуникационным сетям в открытом виде и обеспечивало возможность их перехвата любому школьнику) и лежали в открытом интеренете.
Статья 137 УК РФ предусматривает ответственность за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации. Во-первых, я никакие сведения ни о чьей частной жизни не собирал и не распространял. Во-вторых, персональные данные сами по себе сведениями о частной жизни лица не являются. В-третьих, я здесь не то, что данные третьих лиц, я даже наименование компании (Вашей ведь? :)) не стал публиковать. Последнее я не сделал не из юридических, а исключительно из этических соображений — просто стал заложником своего обещания не публиковать наименование компании в случае устранения уязвимости.
Что же касается плохо закрытой двери. то двери не было вообще. Я указал на это компании — меня проигнорировали. Я заставил эту дверь поставить — ее поставили. В принципе, могли бы сказать спасибо, если уж на то пошло :) Давайте не будем забывать, что компания, о которой идет речь, официально зарегистрирована в установленном законом порядке в качестве оператора персональных данных. Следовательно, она (компания) обязана была принять исчерпывающие меры для обеспечения надлежащего хранения предоставленных ей ее клиентами персональных данных, полностью исключив при этом несанкционированный к ним доступ третьих лиц. Этого сделано не было. И в силу того, что данные не были защищены на должном уровне, эти данные утекали на сторону. А то, что они утекали, я не сомневаюсь — сочетание моего номера телефона и фио супруги не засвечено больше нигде (ибо просто негде). В этой связи очень весело выглядит тот факт, что компанию вполне устраивало то, что кто-то планомерно и методично (возможно, годами) тянул с их сайта всю информацию об их клиентах (а ведь и конкуренты могли!), но почему-то вызвало недовольство предложение эту самую лавочку прикрыть.
А выяснение значения слова «взлом» я оставлю Вам в качестве домашнего задания :)
Давайте по порядку.
Статья 272 УК РФ предусматривает ответственность за неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации. При этом неправомерным считается доступ к конфиденциальной информации лица, не обладающего необходимыми полномочиями (без согласия собственника или его законного представителя), при условии обеспечения специальных средств ее защиты («Методические рекомендации по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации» (утв. Генпрокуратурой России)). Специальные средства защиты информации обеспечены не были. Автоматическая авторизация при прохождении по ссылке не считается средством защиты вообще. Я уж промолчу про ее «специальность». Данные не были защищены вообще, при этом отдавались по протоколу http (что, кстати, влекло их передачу по телекоммуникационным сетям в открытом виде и обеспечивало возможность их перехвата любому школьнику) и лежали в открытом интеренете.
Статья 137 УК РФ предусматривает ответственность за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации. Во-первых, я никакие сведения ни о чьей частной жизни не собирал и не распространял. Во-вторых, персональные данные сами по себе сведениями о частной жизни лица не являются. В-третьих, я здесь не то, что данные третьих лиц, я даже наименование компании (Вашей ведь? :)) не стал публиковать. Последнее я не сделал не из юридических, а исключительно из этических соображений — просто стал заложником своего обещания не публиковать наименование компании в случае устранения уязвимости.
Что же касается плохо закрытой двери. то двери не было вообще. Я указал на это компании — меня проигнорировали. Я заставил эту дверь поставить — ее поставили. В принципе, могли бы сказать спасибо, если уж на то пошло :) Давайте не будем забывать, что компания, о которой идет речь, официально зарегистрирована в установленном законом порядке в качестве оператора персональных данных. Следовательно, она (компания) обязана была принять исчерпывающие меры для обеспечения надлежащего хранения предоставленных ей ее клиентами персональных данных, полностью исключив при этом несанкционированный к ним доступ третьих лиц. Этого сделано не было. И в силу того, что данные не были защищены на должном уровне, эти данные утекали на сторону. А то, что они утекали, я не сомневаюсь — сочетание моего номера телефона и фио супруги не засвечено больше нигде (ибо просто негде). В этой связи очень весело выглядит тот факт, что компанию вполне устраивало то, что кто-то планомерно и методично (возможно, годами) тянул с их сайта всю информацию об их клиентах (а ведь и конкуренты могли!), но почему-то вызвало недовольство предложение эту самую лавочку прикрыть.
А выяснение значения слова «взлом» я оставлю Вам в качестве домашнего задания :)
А Вы уверены, что «Специальные средства защиты информации» обеспечены не были? Наличие средств защиты никак не гарантирует саму полную защиту, в Вы это прекрасно понимаете. Даже банальный антивирус на это уже средство защиты. Межсетевое экранирование, IDS, и другие средства вполне могут иметься, но это не значит что они сработают при банальном переборе.,
И защита в виде «пароля» имеется на ресурсе. Никто не говорит, что она обеспечила достаточную защиту ресурса от неправомерного получения информации, но факт такого неправомерного доступа к охраняемой законом компьютерной информации мне кажется имелся. Вас же никто не просил создавать «программу" для перебора «парольной» ссылки и скачивать к себе на компьютер ПДн третьих лиц. Причем Ваши цели совсем не известны, и как Вы поступили потом с этой информацией тоже.
Если для Вас защита данного сайта является «открытой дверью», это не значит, что для других это тоже самое. Для людей, не связанных с ИТ это не так совсем. С моей стороны, а я совсем не представитель этой компании, я вижу эту ситуацию так: человек воспользовавшись своими специальными знаниями обнаружил уязвимость в системе защиты «сайта» и получил неправомерный доступ к охраняемой законом компьютерной информации с целью ее копирования.
И защита в виде «пароля» имеется на ресурсе. Никто не говорит, что она обеспечила достаточную защиту ресурса от неправомерного получения информации, но факт такого неправомерного доступа к охраняемой законом компьютерной информации мне кажется имелся. Вас же никто не просил создавать «программу" для перебора «парольной» ссылки и скачивать к себе на компьютер ПДн третьих лиц. Причем Ваши цели совсем не известны, и как Вы поступили потом с этой информацией тоже.
Если для Вас защита данного сайта является «открытой дверью», это не значит, что для других это тоже самое. Для людей, не связанных с ИТ это не так совсем. С моей стороны, а я совсем не представитель этой компании, я вижу эту ситуацию так: человек воспользовавшись своими специальными знаниями обнаружил уязвимость в системе защиты «сайта» и получил неправомерный доступ к охраняемой законом компьютерной информации с целью ее копирования.
А Вы уверены, что «Специальные средства защиты информации» обеспечены не были?
Если программа средства защиты не работают, их присутсвие и количество не имеют значения. Антивирус и файрволл не имеют ни малейшего отношения к защите информации в системе ее представления на сайте.
И защита в виде «пароля» имеется на ресурсе.
Который вводится автоматически без каких-либо действий пользователя? И что (а, главное, от кого) он защищает?
«парольной» ссылки
Это новый термин. Вероятно, новое средство защиты. Вам следует его запатентовать. Соль как раз в том и была, что подбор не требовался.
Для людей, не связанных с ИТ это не так совсем.
Какое отношение люди, не связанные с ИТ, имеют к сайту, способам хранения персональных данных и системам защиты этих данных? Люди, которые занимаются этими вопросами, обязаны быть очень тесно связанными с ИТ. Или это профнепригодность. Для людей, не связанных с медициной, полостная операция может выглядить как вскрытие, а вскрытие — как глумление над трупом. Но это не значит, что они правы. Просто людям, не связанным с какой-то сферой, не следует делать выводы о том, в чем они не сведущи.
человек воспользовавшись своими специальными знаниями обнаружил уязвимость в системе защиты «сайта» и получил неправомерный доступ к охраняемой законом компьютерной информации
Этот доступ получал любой человек, пройдя по ссылке. Вам ведь не нужны специальные познания для того, чтобы напечатать адрес сайта в адресной строке?
И вообще, что Вы мне хотите предъявить? Энное число людей до меня обнаружили эту же брешь и по-тихоньку (неделями, месяцами, годами — мы не знаем) тянули данные людей и использовали их в своих целях (сами по ним «работали», собирали базы и продавали, да мало ли как еще). Если бы я поступил так же, этого бы никто не узнал, и такие как Вы были бы довольны, верно?
Рано или поздно такие дыры приводят к серьезным проблемам. Эксплуатируя уязвимость такого рода можно натворить много всего: адресно уводить клиентов, саботировать работу компании, массово «отказываясь» от отправлений или меняя время/адрес доставки, корректировать адрес доставки на иной и получать чужой груз, разводить людей на деньги, как это описано тут, и т.п. А можно было просто собрать всю эту базу за несколько месяцев или, даже, лет и опубликовать вместе со всеми телефонами, адресами и наименованием компании. Красочно и в картинках. Сможете оценить репутационные потери при таком сценарии?
Я тут, кстати, свою статью написал https://habrahabr.ru/post/334782/ на основе Вашей, уж не обессудьте)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как крупная курьерская компания персональные данные своих клиентов раздавала