В порыве ностальгии листая письма с далёкой родины я нашёл в почтовом ящике письмо о розыгрыше. Обычно такие письма лежат в папке Спам, но оно почему-то пробилось сквозь фильтры.
Очень странные дела - подумал я, и в голове зазвучала соответствующая музыка. Открыл, проверил, SPF прошло, домен верный.
domain of peterburgregiongaz.ru designates 93.153.188.227 as permitted senderА я думал, что нигерийские спамеры решили меня разыграть. Оказалось, что не нигерийские. Полез читать письмо. У меня конечно за сотню лет вперёд уплочено, но десять тысяч то не лишние. Это почти 1,5 месяца отопления по нынешним ценам.
В письме оказалась потрясающая информация в стиле ранних конкурсов начала века:
- Подпиш��сь на нас ВКонтакте
- Оставь в комментариях номер лицевого счёта
Ну и мотивирующее, ради чего весь этот конкурс затевался - не имей задолженностей и пользуйся личным кабинетом.
Я чо, лох что ли? Не, я тоже хочу ДЕСЯТЬ ТЫСЯЧ РУБЛЕЙ подумал я и кликнул на обе ссылки. По первой я попал в свой личный кабинет «Мой газ», по второй - в вольер, полный шерстистых предков слонов.
На момент моего визита поголовье насчитывало почти 2000 особей и стремительно продолжало расти, каждые две минуты появлялся очередной человек пренебрегающий цифровой гигиеной, безопасностью персональных данных, просто здравым смыслом и выкладывал на всеобщее обозрение ключ к своему местоположению.
Это блин круче, чем пробить адрес по IP. Раньше приходилось смотреть с какого провайдера пришёл человек, рыться в логах модемных пулов, сопостовлять телефонный номер с адресной книгой. А сейчас люди добровольно внесли свои данные в цифровую БД и дают ключ от неё на всеобщее обозрение из‑под своих имени и фамилии. Не очень понятно зачем у них тогда «закрытые профили» в данной соц.сети.
Я, конечно же, не бездействовал. Я сразу капу нажал. Сообщил данному сообществу «Газпром межрегионгаз Санкт‑Петербург» о том, что у них кое‑что в безопасности.
А теперь посмотрим — как всё это работает.
Сначала нам понадобится войти в свой личный кабинет, если вы нигерийский мошенник — ничего страшного, на смородина.онлайн для создания личного кабинета нужен только ящик электронной почты, без всяких автори заций черех Макс, Госуслуги или OnlyFans. Вводите код полученный на почтовый адрес в Зимбабве и через пару секунд вы уже в личном кабинете. Там висит увлекательная табличка — у вас нет подключенных счетов.
Но... у нас же есть стадо северных оленей с номерами. Конечно есть заминка — кроме номера счёта нужно указать ещё и поставщика услуг. Там достаточно обширный список, от Анадыря до Якутска, но путём длительного перебора вариантов нам удаётся узнать, что в группе Газпром межрегионгаз Санкт-Петербург внезапно люди публикуют номера личных счетов поставщика услуг... ни за что не догадаетесь: Межрегионгаз Санкт-Петербург
Та-даааа-м! В совершенно пустом кабинете, зарегистрированным на левый емейл, мы видим заветную табличку - Лицевой счёт №********** успешно подключён.
Компания Газпром таким образом, без верификации, без проверки личности, без снятия ректальных слепков — даёт нам доступ к полному домашнему адресу пользователя ВКонтакте который повёлся на их «розыгрыш», всякие мелочи типа марки его прибора учёта (взлом по токовой петле всё ещё актуален?), ну и конечно же... Конечно же... КОНЕЧНО ЖЕ... ...твою лучшую подругу! © сами знаете кто.
Конечно же банковские данные о транзакциях, типе карты, электронном ящике пользователя.
Я бы понял, если бы это был розыгрыш от студии по педикюру в подвале хрущёвки на окраине Саратова. Приложите номер карты клиента и мы сделаем вам массаж пятки бесплатно при следующем визите.
Я понимаю, розыгрыши от госкорпораций, которые нанимают аутсорсеров для проведения пиаракций в странах третьего мира с ценными призами среди аборигенов (показать вам мою коллекцию ништяков? В комментах позже выложу.)
Но тут? Государственная компания, казалось бы у них есть своя СБ которая должна проверять деятельность пиарщиков, качество защиты данных в цифровых сервисах.
Или у них такого нету и всё торчит наружу?
А, да... действительно.
Торчит.
NB! Данный пост является информационным, опубликован с целью показать IT-сообществу как несогласованные действия SMM-специалистов могут отразиться на безопасности проектов в целом. Помните, что незаконный сбор персональных данных карается в большинстве стран мира.
Комментарии (4)
nerudo
18.11.2025 04:00Помнится, клоуны из говнотелекома присылали рекламное письмо "Мы позаботимся о вашей безопасности" с тысячей адресатов (больше, наверное сервер не пропускал, иначе бы они все 150млн забубенили).
asdp
18.11.2025 04:00После добавления в смородине чужого ЛС (например от съёмной квартиры) удалить его чтобы не получать кучу спама за последующие чужие долги - тот ещё квест.
И нет, просто удалить ЛС в кабинете не помогает, он исчезает, но всё равно остаётся привязан к телефону и почте из кабинета.
Нет, просто позвонить в поддержку и попросить отвязать тоже не помогает - там требуют прислать заявление (или принести лично) и приложить к нему подписанный акт передачи помещения с указанием контактов принявших лиц.
Я решил вместо этого оставить через сайт регионгаза обращение руководству, где высказал всё, что думаю об их системе, поддержке и тех, кто это придумал. И бинго - за семь минут ответили, что отвязали данные.
Теперь на очереди еирц, который в смсках уже грозится на меня подать в суд за аналогичный чужой долг по электричеству...
a_volkov1987
В сфере ЖКХ вообще очень разумные люди работают.
Я имел честь переписываться с ЕИРЦ.
Если вкратце - лет 5 назад оплатил безналом соседке-пенсионерке коммуналку по ее просьбе. Она приболела и передала мне нал, а я оплатил ей квитанции через банковское приложение.
Через несколько лет соседки не стало, ее квартиру купили другие люди. И они не слишком были аккуратны с платежами.
И тут ЕИРЦ решил, что проведенный платеж - это признак того, что я являюсь собственником проблемного счета. И можно меня заваливать емейлами с требования оплатить чужой счет ЖКХ.
Резонно же! Ведь уже платил, заплати еще.
Вобщем после N раундов переписки и общения с их поддержкой их все же отпустило и они письменно заказным таки прислали искренние извинения и признания в своей неправоте.
randomsimplenumber
И что не так? Ошиблись, извинились (без уважения). Единственное что смущает - банк поделился с ними вашими перс данными. Может и вашу карту к чужому лицевому счету подключить, наверное.