- 270
- 172
- 6 Мар 2016
Давно хотел написать статью, как одна почтовая служба, которой я воспользовался, показывала слишком много данных о посылке и её получателе, но не находил времени и подходящего момента.
А тут на днях на Хабре вышла статья "Как крупная курьерская компания персональные данные своих клиентов раздавала", после выхода которой я понял, что не одинок многие службы страдают этим.
Что ж, опишу свою ситуацию и результаты (пост будет короче, чем указанный выше).
(картинка для привлечения внимания. Картинка не относится к описываемому мной сервису)
В конце прошлого года я воспользовался сервисом, чьё название я не буду упоминать, не смотря на то, что компания давно исправила уязвимость.
На сайте службы доставки по ссылке вида xxxxxxxx.ru/departure_track/?id=XX00000000123456YYY, которую я получил в письме от интернет-магазина, где делал заказ, была указана довольно детальная информация.
Были доступны следующие данные:
— название интернет-магазина;
— № заказа интернет-магазина;
— вес посылки;
— пункт выдачи, который часто был адресом физ. лица;
— а также контактный телефон отделения, который во многих случаях являлся не телефоном почтового отделения, а был именно личным мобильным телефоном получателя (проверено на себе).
Другие примеры
Информация была доступна для просмотра без авторизации и без ограничений по количеству подборов номеров отправлений.
Проблема была не только в разглашении персональных данных (мобильный номер телефона и домашний адрес), а и в том, что нехорошие люди могли запросто заниматься обзвоном клиентов, которые ждут посылку, с просьбами перевести, например, сумму комиссии на их (мошенническую) банковскую карту за фиктивную доставку – вся необходимая для убеждения клиента информация была доступна.
В письме, отправленным мной компании, я указал такой пример: звонок может быть на номер +380501234567 со следующими данными:
— Добрый день, меня зовут Андрей, я сотрудник службы доставки XXXXXXXX. Вы ожидаете посылку от %COMPANY_NAME%, весом 1,02 кг, № заказа интернет-магазина 4507XXXX-X?
— Да.
— Ваш адрес Киев, улица Татарская, дом 3, квартира 15 — указано правильно?
— Да.
— Ваша посылка уже у нас. Вам необходимо оплатить 45 гривен на банковскую карту №512345678901234. Как только мы получим средства, курьер сразу же выезжает к Вам.
— Хорошо.
Ну или любой другой скрипт разговора из вариантов социальной инженерии мошенников.
Я рекомендовал ограничить показ такого количества информации неавторизированным пользователям, так как периодически нахожу ошибки в интернет-сервисах и считаю, что данная ситуация вполне реальна и опасна, так как слишком много доступной информации указано на сайте без ограничений, а мошенники, занимающиеся обзвоном, постоянно придумывают новые способы обмана доверчивых покупателей.
Что приятно, компания приняла моё письмо во внимание и исправила уязвимость (убрала лишние для отображения поля, позже добавила капчу), а также перевела мне 2000 рублей в качестве вознаграждения, пусть и не сразу.
На сегодняшний день проблема исправлена, информация на сайте отображается в усечённом виде
А тут на днях на Хабре вышла статья "Как крупная курьерская компания персональные данные своих клиентов раздавала", после выхода которой я понял, что не одинок многие службы страдают этим.
Что ж, опишу свою ситуацию и результаты (пост будет короче, чем указанный выше).
(картинка для привлечения внимания. Картинка не относится к описываемому мной сервису)
В конце прошлого года я воспользовался сервисом, чьё название я не буду упоминать, не смотря на то, что компания давно исправила уязвимость.
На сайте службы доставки по ссылке вида xxxxxxxx.ru/departure_track/?id=XX00000000123456YYY, которую я получил в письме от интернет-магазина, где делал заказ, была указана довольно детальная информация.
Были доступны следующие данные:
— название интернет-магазина;
— № заказа интернет-магазина;
— вес посылки;
— пункт выдачи, который часто был адресом физ. лица;
— а также контактный телефон отделения, который во многих случаях являлся не телефоном почтового отделения, а был именно личным мобильным телефоном получателя (проверено на себе).
Другие примеры
Информация была доступна для просмотра без авторизации и без ограничений по количеству подборов номеров отправлений.
Проблема была не только в разглашении персональных данных (мобильный номер телефона и домашний адрес), а и в том, что нехорошие люди могли запросто заниматься обзвоном клиентов, которые ждут посылку, с просьбами перевести, например, сумму комиссии на их (мошенническую) банковскую карту за фиктивную доставку – вся необходимая для убеждения клиента информация была доступна.
В письме, отправленным мной компании, я указал такой пример: звонок может быть на номер +380501234567 со следующими данными:
— Добрый день, меня зовут Андрей, я сотрудник службы доставки XXXXXXXX. Вы ожидаете посылку от %COMPANY_NAME%, весом 1,02 кг, № заказа интернет-магазина 4507XXXX-X?
— Да.
— Ваш адрес Киев, улица Татарская, дом 3, квартира 15 — указано правильно?
— Да.
— Ваша посылка уже у нас. Вам необходимо оплатить 45 гривен на банковскую карту №512345678901234. Как только мы получим средства, курьер сразу же выезжает к Вам.
— Хорошо.
Ну или любой другой скрипт разговора из вариантов социальной инженерии мошенников.
Я рекомендовал ограничить показ такого количества информации неавторизированным пользователям, так как периодически нахожу ошибки в интернет-сервисах и считаю, что данная ситуация вполне реальна и опасна, так как слишком много доступной информации указано на сайте без ограничений, а мошенники, занимающиеся обзвоном, постоянно придумывают новые способы обмана доверчивых покупателей.
Что приятно, компания приняла моё письмо во внимание и исправила уязвимость (убрала лишние для отображения поля, позже добавила капчу), а также перевела мне 2000 рублей в качестве вознаграждения, пусть и не сразу.
На сегодняшний день проблема исправлена, информация на сайте отображается в усечённом виде