Уразливість на сайті Дом.ги, що дозволяє отримати особисті дані клієнтів

Повинен зізнатися, сам був здивований подібною ситуацією. Я взагалі ні разу не сисадмін, не пишу код і навіть працюю у сфері, дуже далекою від IT. Коротше, я менеджер. З продажу промислового обладнання. Однак люблю длубатися в Linux (не можу не зізнатися в любові до calculate-linux) і пограти в Windows.

Отже, сьогодні (на момент розміщення публікації в Пісочниці) 31 число, пора оплатити інтернет. Побродивши по сайту мого провайдера Дом.ги вирішив подивитися статистику. Тут-то і почалося найцікавіше.

Я звернув увагу, що мій логін світиться в адресному рядку браузера. Тут же мною оволодів свербіж дослідника і пентестера. Я просто поміняв одну цифру мого логіна в рядку браузера (навіть не відладчика) і побачив чужу статистику з повними ПІБ, №договору. В наступні пару хвилин я знайшов ще кілька діючих договорів (якщо правильно зрозумів, там повертають помилку, якщо в системі не існує логіна).

Кілька скрінів в підтвердження моїх слів:

перший клієнтimage

другий клієнтimage

третій клієнтimage

Природно, я відписав провайдеру на пошту з лівого поштової скриньки, зареєстрованого з під анонімного проксі. У нашій країні за подібне цікавість можуть покарати.

лист провайдера


Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.