Комментарии 13
Сомневаюсь, что это так работает. Как минимум можно сделать так: при регистрации выдавать токен, при каждом запросе отправляется токен и проверянтся на соответствие твоему аккаунта. Во-вторых, у госуслуг открытое апи, уже год минимум. За это время никто не нашёл эту лазейку? В-третьих, у нас есть мир, налоговый кабинет. Наверно всё-таки там люди научились в шифрование и защиту. Яндекс, касперский на крайний случай, к которым можно обратиться на аутсорс
Ну классически, раздувают то чего нету. Согласен api открыто сколько времени и еще не нашли лазейку, а тут нашли.
Какая связь между дырой в реестре повесток, миром, налоговым кабинетом и Яндексом? Аргументация абсолютно ложная.
А о том, что это сознательно сделано для слива базы вы не думали?
В новости @youngmyn я увидел только какой-то скрин с json (без адресной строки почему-то). Якобы он подставил свой ID и получил свои данные в таком виде. Но не увидел скриншота, как он подставил чужой ID и так же получил данные (которые можно было бы сравнить). Если я слепец, то ткните, пожалуйста, куда смотреть надо. В заголовке присутствует громкое слово "слив", а где можно на слитые данные посмотреть? 🤔
Не сомневаюсь, что разработчики реестра могли и могут оподливиться, но всё это выглядит как вброс и "компьютерная графита!!!!!!!!". И многие поверили этому джентльмену на слово 🧐
Ложечки официально и не терялись, но осадок всё равно какой-то остался.
Минцифры это ФОИВ, конечно, они напишут такое, по другому быть не должно.
Новость встаёт в один ряд с:
это не утечка, это компиляция старья
это не замедление, это деградация кеша
это не мы кривые, это всех провайдеров ддосят
это не дырявое API, это эшелоны, у нас всё надёжно
про гос услуги тоже писали, что все защищено...однако по некоторым регионам целиком данные на граждан пролюбили
В Минцифры опровергли сообщения от исследователей, что можно получить данные граждан из реестра электронных повесток