Новости Как другая крупная курьерская компания персональные данные своих клиентов раздавала

AnGeL

Местный
270
172
6 Мар 2016
Давно хотел написать статью, как одна почтовая служба, которой я воспользовался, показывала слишком много данных о посылке и её получателе, но не находил времени и подходящего момента.

А тут на днях на Хабре вышла статья "Как крупная курьерская компания персональные данные своих клиентов раздавала", после выхода которой я понял, что не одинок многие службы страдают этим.

Что ж, опишу свою ситуацию и результаты (пост будет короче, чем указанный выше).

a4df4cc43b05f8fd45411e4043d3992f.jpg

(картинка для привлечения внимания. Картинка не относится к описываемому мной сервису)

В конце прошлого года я воспользовался сервисом, чьё название я не буду упоминать, не смотря на то, что компания давно исправила уязвимость.

На сайте службы доставки по ссылке вида xxxxxxxx.ru/departure_track/?id=XX00000000123456YYY, которую я получил в письме от интернет-магазина, где делал заказ, была указана довольно детальная информация.

Были доступны следующие данные:

— название интернет-магазина;
— № заказа интернет-магазина;
— вес посылки;
— пункт выдачи, который часто был адресом физ. лица;
— а также контактный телефон отделения, который во многих случаях являлся не телефоном почтового отделения, а был именно личным мобильным телефоном получателя (проверено на себе).

162fd5bd81aa5ea8681708a53e65cee2.png


Другие примеры
f1f2f06c67e8449f992b886c7dcc5424.png


0fa18025c203cb3309790a05a13ef3e1.png


Информация была доступна для просмотра без авторизации и без ограничений по количеству подборов номеров отправлений.

Проблема была не только в разглашении персональных данных (мобильный номер телефона и домашний адрес), а и в том, что нехорошие люди могли запросто заниматься обзвоном клиентов, которые ждут посылку, с просьбами перевести, например, сумму комиссии на их (мошенническую) банковскую карту за фиктивную доставку – вся необходимая для убеждения клиента информация была доступна.

В письме, отправленным мной компании, я указал такой пример: звонок может быть на номер +380501234567 со следующими данными:

— Добрый день, меня зовут Андрей, я сотрудник службы доставки XXXXXXXX. Вы ожидаете посылку от %COMPANY_NAME%, весом 1,02 кг, № заказа интернет-магазина 4507XXXX-X?
— Да.
— Ваш адрес Киев, улица Татарская, дом 3, квартира 15 — указано правильно?
— Да.
— Ваша посылка уже у нас. Вам необходимо оплатить 45 гривен на банковскую карту №512345678901234. Как только мы получим средства, курьер сразу же выезжает к Вам.
— Хорошо.


Ну или любой другой скрипт разговора из вариантов социальной инженерии мошенников.

Я рекомендовал ограничить показ такого количества информации неавторизированным пользователям, так как периодически нахожу ошибки в интернет-сервисах и считаю, что данная ситуация вполне реальна и опасна, так как слишком много доступной информации указано на сайте без ограничений, а мошенники, занимающиеся обзвоном, постоянно придумывают новые способы обмана доверчивых покупателей.

Что приятно, компания приняла моё письмо во внимание и исправила уязвимость (убрала лишние для отображения поля, позже добавила капчу), а также перевела мне 2000 рублей в качестве вознаграждения, пусть и не сразу.

На сегодняшний день проблема исправлена, информация на сайте отображается в усечённом виде

70e0242e063ee4190f2094f8e82ad288.png