Уведомление о данном баге было направлено на адрес support@gosuslugi.ru еще 6 ноября. Кроме стандартного ответа робота о том, что «обращение передано специалистам технической поддержки» и «срок его обработки может составить до 3 рабочих» с тех пор не пришло больше ничего. Других контактов я не нашел. В дальнейшем нагуглив, что разработчиком gosuslugi.ru является Ростелеком, продублировал своё сообщение на все найденные мной адреса Ростелекома: rostelecom@rt.ru, info@center.rt.ru, rtkm@rt.ru.
Баг не устранен, ответа нет до сих пор, куда еще писать я не знаю, поэтому с чистой совестью публикую подробности.
Для небольшого тестового приложения потребовалось мне недели две назад вытащить с сайта Госуслуг данные в сыром виде (свои, конечно, не чужие). С получением всей основной информации в виде json проблем не возникло, но вот отчеты выходили только в HTML. Загружается отчет по get-запросу примерно такого вида:
Здесь я специально заменил параметр orderId нулями, т.к. там был номер настоящего отчета, в остальном это типичный запрос, например, для извещения о состоянии ИЛС (данные пенсионного фонда).
Поигравшись немного с параметрами, я довольно быстро нашел как получить отчет в виде XML-файла, достаточно убрать из запроса mimeType=docFormat%20docXML. С чувством выполненного долга, я решил проверить еще пару параметров, вдруг удастся получить отчет в еще каком-нибудь виде. Пока всё это делал не заметил как случайно удалил одну из цифр в orderId.
Я не сразу понял, что вижу чужой отчет и он не имеет ко мне никакого отношения! Ну не может же такого быть! Я решил попробовать перебрать вручную еще несколько orderId. Удивило то, что в среднем на каждый 10 orderId если идти простым перебором по порядку приходится чей-то отчет и он спокойно открывается под моим аккаунтом.
Чаще всего попадаются отчеты из пенсионного фонда, в которых содержаться, например, данные о доходах и адрес проживания, дата рождения и пр. Иногда это были отчеты о штрафах с номерами водительских прав. Некоторые из отчетов мне не удалось определить.
Данная дыра работает только если пользователь аутентифицирован на сайте. Чтобы окончательно убедится, что меня не глючит, на следующий день я попросил друга зайти под его логином и попытаться открыть мой отчет. Разумеется, он открылся.
Что было дальше, я написал в начале данного поста. Баги у всех бывают, и даже страшнее (взять хоть последнюю дыру в Skype). Но как можно так неоперативно нереагировать? Единственный адрес, на который никто не отвечает…
Баг не устранен, ответа нет до сих пор, куда еще писать я не знаю, поэтому с чистой совестью публикую подробности.
Для небольшого тестового приложения потребовалось мне недели две назад вытащить с сайта Госуслуг данные в сыром виде (свои, конечно, не чужие). С получением всей основной информации в виде json проблем не возникло, но вот отчеты выходили только в HTML. Загружается отчет по get-запросу примерно такого вида:
https://www.gosuslugi.ru/pgu/serviceResult/getFileResult?filename=Результат_1.html&orderId=00000000&serviceId=18&mimeType=docFormat%20docXML&downloadType=_blank&alternate=text/html&mnemonic=1&fileNo=0Здесь я специально заменил параметр orderId нулями, т.к. там был номер настоящего отчета, в остальном это типичный запрос, например, для извещения о состоянии ИЛС (данные пенсионного фонда).
Поигравшись немного с параметрами, я довольно быстро нашел как получить отчет в виде XML-файла, достаточно убрать из запроса mimeType=docFormat%20docXML. С чувством выполненного долга, я решил проверить еще пару параметров, вдруг удастся получить отчет в еще каком-нибудь виде. Пока всё это делал не заметил как случайно удалил одну из цифр в orderId.
Я не сразу понял, что вижу чужой отчет и он не имеет ко мне никакого отношения! Ну не может же такого быть! Я решил попробовать перебрать вручную еще несколько orderId. Удивило то, что в среднем на каждый 10 orderId если идти простым перебором по порядку приходится чей-то отчет и он спокойно открывается под моим аккаунтом.
Чаще всего попадаются отчеты из пенсионного фонда, в которых содержаться, например, данные о доходах и адрес проживания, дата рождения и пр. Иногда это были отчеты о штрафах с номерами водительских прав. Некоторые из отчетов мне не удалось определить.
Данная дыра работает только если пользователь аутентифицирован на сайте. Чтобы окончательно убедится, что меня не глючит, на следующий день я попросил друга зайти под его логином и попытаться открыть мой отчет. Разумеется, он открылся.
Что было дальше, я написал в начале данного поста. Баги у всех бывают, и даже страшнее (взять хоть последнюю дыру в Skype). Но как можно так неоперативно нереагировать? Единственный адрес, на который никто не отвечает…