Давно хотел написать статью, как одна почтовая служба, которой я воспользовался, показывала слишком много данных о посылке и её получателе, но не находил времени и подходящего момента.
А тут на днях на Хабре вышла статья "Как крупная курьерская компания персональные данные своих клиентов раздавала", после выхода которой я понял, чтоне одинок многие службы страдают этим.
Что ж, опишу свою ситуацию и результаты (пост будет короче, чем указанный выше).
(картинка для привлечения внимания. Картинка не относится к описываемому мной сервису)
В конце прошлого года я воспользовался сервисом, чьё название я не буду упоминать, не смотря на то, что компания давно исправила уязвимость.
На сайте службы доставки по ссылке вида xxxxxxxx.ru/departure_track/?id=XX00000000123456YYY, которую я получил в письме от интернет-магазина, где делал заказ, была указана довольно детальная информация.
Были доступны следующие данные:
— название интернет-магазина;
— № заказа интернет-магазина;
— вес посылки;
— пункт выдачи, который часто был адресом физ. лица;
— а также контактный телефон отделения, который во многих случаях являлся не телефоном почтового отделения, а был именно личным мобильным телефоном получателя (проверено на себе).
Информация была доступна для просмотра без авторизации и без ограничений по количеству подборов номеров отправлений.
Проблема была не только в разглашении персональных данных (мобильный номер телефона и домашний адрес), а и в том, что нехорошие люди могли запросто заниматься обзвоном клиентов, которые ждут посылку, с просьбами перевести, например, сумму комиссии на их (мошенническую) банковскую карту за фиктивную доставку – вся необходимая для убеждения клиента информация была доступна.
В письме, отправленным мной компании, я указал такой пример: звонок может быть на номер +380501234567 со следующими данными:
— Добрый день, меня зовут Андрей, я сотрудник службы доставки XXXXXXXX. Вы ожидаете посылку от %COMPANY_NAME%, весом 1,02 кг, № заказа интернет-магазина 4507XXXX-X?
— Да.
— Ваш адрес Киев, улица Татарская, дом 3, квартира 15 — указано правильно?
— Да.
— Ваша посылка уже у нас. Вам необходимо оплатить 45 гривен на банковскую карту №512345678901234. Как только мы получим средства, курьер сразу же выезжает к Вам.
— Хорошо.
Ну или любой другой скрипт разговора из вариантов социальной инженерии мошенников.
Я рекомендовал ограничить показ такого количества информации неавторизированным пользователям, так как периодически нахожу ошибки в интернет-сервисах и считаю, что данная ситуация вполне реальна и опасна, так как слишком много доступной информации указано на сайте без ограничений, а мошенники, занимающиеся обзвоном, постоянно придумывают новые способы обмана доверчивых покупателей.
Что приятно, компания приняла моё письмо во внимание и исправила уязвимость (убрала лишние для отображения поля, позже добавила капчу), а также перевела мне 2000 рублей в качестве вознаграждения, пусть и не сразу.
На сегодняшний день проблема исправлена, информация на сайте отображается в усечённом виде
Так что почтовые сервисы бывают разные.
А тут на днях на Хабре вышла статья "Как крупная курьерская компания персональные данные своих клиентов раздавала", после выхода которой я понял, что
Что ж, опишу свою ситуацию и результаты (пост будет короче, чем указанный выше).
(картинка для привлечения внимания. Картинка не относится к описываемому мной сервису)
В конце прошлого года я воспользовался сервисом, чьё название я не буду упоминать, не смотря на то, что компания давно исправила уязвимость.
На сайте службы доставки по ссылке вида xxxxxxxx.ru/departure_track/?id=XX00000000123456YYY, которую я получил в письме от интернет-магазина, где делал заказ, была указана довольно детальная информация.
Были доступны следующие данные:
— название интернет-магазина;
— № заказа интернет-магазина;
— вес посылки;
— пункт выдачи, который часто был адресом физ. лица;
— а также контактный телефон отделения, который во многих случаях являлся не телефоном почтового отделения, а был именно личным мобильным телефоном получателя (проверено на себе).
Другие примеры
Информация была доступна для просмотра без авторизации и без ограничений по количеству подборов номеров отправлений.
Проблема была не только в разглашении персональных данных (мобильный номер телефона и домашний адрес), а и в том, что нехорошие люди могли запросто заниматься обзвоном клиентов, которые ждут посылку, с просьбами перевести, например, сумму комиссии на их (мошенническую) банковскую карту за фиктивную доставку – вся необходимая для убеждения клиента информация была доступна.
В письме, отправленным мной компании, я указал такой пример: звонок может быть на номер +380501234567 со следующими данными:
— Добрый день, меня зовут Андрей, я сотрудник службы доставки XXXXXXXX. Вы ожидаете посылку от %COMPANY_NAME%, весом 1,02 кг, № заказа интернет-магазина 4507XXXX-X?
— Да.
— Ваш адрес Киев, улица Татарская, дом 3, квартира 15 — указано правильно?
— Да.
— Ваша посылка уже у нас. Вам необходимо оплатить 45 гривен на банковскую карту №512345678901234. Как только мы получим средства, курьер сразу же выезжает к Вам.
— Хорошо.
Ну или любой другой скрипт разговора из вариантов социальной инженерии мошенников.
Я рекомендовал ограничить показ такого количества информации неавторизированным пользователям, так как периодически нахожу ошибки в интернет-сервисах и считаю, что данная ситуация вполне реальна и опасна, так как слишком много доступной информации указано на сайте без ограничений, а мошенники, занимающиеся обзвоном, постоянно придумывают новые способы обмана доверчивых покупателей.
Что приятно, компания приняла моё письмо во внимание и исправила уязвимость (убрала лишние для отображения поля, позже добавила капчу), а также перевела мне 2000 рублей в качестве вознаграждения, пусть и не сразу.
На сегодняшний день проблема исправлена, информация на сайте отображается в усечённом виде
спойлер
Так что почтовые сервисы бывают разные.
Комментарии (19)
LaoAx
03.08.2017 14:25-1Если не ошибаюсь, то телефон и адрес не являются персональными данными, согласно закону о них. Так что это просто мнительность.
Gorodnya Автор
03.08.2017 15:09+2Да, телефон и адрес без ФИО вместе не так опасны, но тут раскрывались и другие данные, что вместе могло доставить неприятности их владельцу.
leave_me_here
03.08.2017 15:04Мне вот как-то один интернет магазин с похожей уязвимостью (но там сложнее было) сначала возрождение прислал, а потом через 3 дня уязвимость исправил.
RoboShop
03.08.2017 23:04+1У меня есть покруче уязвимость, но с пятницы в песочницу не публикуют, печаль.
Happy_dayZ
07.08.2017 09:57Разве люди еще ведутся на такое? В наш век если кто-то денег просит — надо по 10 раз перепроверять.
vilgeforce
А сколько прошло времени от отправки письма до первого вменяемого человеческого ответа по существу? Так, для статистики…
Gorodnya Автор
Я думал написать хронологию, но тогда не смотрел в почтовый ящик, с которого вёл с ними переписку, поэтому решил не указывать это в статье (т.е. некоторые даты растянуты по времени не по их вине). Но, раз есть вопрос)
В десятых числах ноября я отправил письмо, 22-го спросил, какое будет решение. В ответ получил сообщение, что передали и исправили. Проверил, таки да. Получается, ошибку они исправили после отправки моего первого письма довольно быстро, в течении недели или около того.
vilgeforce
Спасибо! Значит, не более двух недель.
Gorodnya Автор
Да, а вот с вознаграждение было дольше, хотя сразу сказали, сколько и попросили реквизиты.
vilgeforce
Да они прямо лапочки! Мне вот банки на запросы «куда писать вам о проблемах» не отвечают неделями. А уж элементарное «спасибо» — не, не слышали :-/
Gorodnya Автор
Моя следующая статья должна быть как раз о том, как банки не отвечают даже не неделями, а месяцами)
vilgeforce
Жду с нетерпением, да еще и своего подкину по ним, вероятно ;-)
Dmitry_5
Звонков 'Чтобы получить вознаграждение, переведите столько средств на карту номер...' не было?