В порыве ностальгии листая письма с далёкой родины я нашёл в почтовом ящике письмо о розыгрыше. Обычно такие письма лежат в папке Спам, но оно почему-то пробилось сквозь фильтры.
Очень странные дела - подумал я, и в голове зазвучала соответствующая музыка. Открыл, проверил, SPF прошло, домен верный.
domain of peterburgregiongaz.ru designates 93.153.188.227 as permitted senderА я думал, что нигерийские спамеры решили меня разыграть. Оказалось, что не нигерийские. Полез читать письмо. У меня конечно за сотню лет вперёд уплочено, но десять тысяч то не лишние. Это почти 1,5 месяца отопления по нынешним ценам.
В письме оказалась потрясающая информация в стиле ранних конкурсов начала века:
- Подпишись на нас ВКонтакте
- Оставь в комментариях номер лицевого счёта
Ну и мотивирующее, ради чего весь этот конкурс затевался - не имей задолженностей и пользуйся личным кабинетом.
Я чо, лох что ли? Не, я тоже хочу ДЕСЯТЬ ТЫСЯЧ РУБЛЕЙ подумал я и кликнул на обе ссылки. По первой я попал в свой личный кабинет «Мой газ», по второй - в вольер, полный шерстистых предков слонов.
На момент моего визита поголовье насчитывало почти 2000 особей и стремительно продолжало расти, каждые две минуты появлялся очередной человек пренебрегающий цифровой гигиеной, безопасностью персональных данных, просто здравым смыслом и выкладывал на всеобщее обозрение ключ к своему местоположению.
Это блин круче, чем пробить адрес по IP. Раньше приходилось смотреть с какого провайдера пришёл человек, рыться в логах модемных пулов, сопостовлять телефонный номер с адресной книгой. А сейчас люди добровольно внесли свои данные в цифровую БД и дают ключ от неё на всеобщее обозрение из‑под своих имени и фамилии. Не очень понятно зачем у них тогда «закрыт��е профили» в данной соц.сети.
Я, конечно же, не бездействовал. Я сразу капу нажал. Сообщил данному сообществу «Газпром межрегионгаз Санкт‑Петербург» о том, что у них кое‑что в безопасности.
А теперь посмотрим — как всё это работает.
Сначала нам понадобится войти в свой личный кабинет, если вы нигерийский мошенник — ничего страшного, на смородина.онлайн для создания личного кабинета нужен только ящик электронной почты, без всяких автори заций черех Макс, Госуслуги или OnlyFans. Вводите код полученный на почтовый адрес в Зимбабве и через пару секунд вы уже в личном кабинете. Там висит увлекательная табличка — у вас нет подключенных счетов.
Но... у нас же есть стадо северных оленей с номерами. Конечно есть заминка — кроме номера счёта нужно указать ещё и поставщика услуг. Там достаточно обширный список, от Анадыря до Якутска, но путём длительного перебора вариантов нам удаётся узнать, что в группе Газпром межрегионгаз Санкт-Петербург внезапно люди публикуют номера личных счетов поставщика услуг... ни за что не догадаетесь: Межрегионгаз Санкт-Петербург
Та-даааа-м! В совершенно пустом кабинете, зарегистрированным на левый емейл, мы видим заветную табличку - Лицевой счёт №********** успешно подключён.
Компания Газпром таким образом, без верификации, без проверки личности, без снятия ректальных слепков — даёт нам доступ к полному домашнему адресу пользователя ВКонтакте который повёлся на их «розыгрыш», всякие мелочи типа марки его прибора учёта (взлом по токовой петле всё ещё актуален?), ну и конечно же... Конечно же... КОНЕЧНО ЖЕ... ...твою лучшую подругу! © сами знаете кто.
Конечно же банковские данные о транзакциях, типе карты, электронном ящике пользователя.
Я бы понял, если бы это был розыгрыш от студии по педикюру в подвале хрущёвки на окраин�� Саратова. Приложите номер карты клиента и мы сделаем вам массаж пятки бесплатно при следующем визите.
Я понимаю, розыгрыши от госкорпораций, которые нанимают аутсорсеров для проведения пиаракций в странах третьего мира с ценными призами среди аборигенов (показать вам мою коллекцию ништяков? В комментах позже выложу.)
Но тут? Государственная компания, казалось бы у них есть своя СБ которая должна проверять деятельность пиарщиков, качество защиты данных в цифровых сервисах.
Или у них такого нету и всё торчит наружу?
А, да... действительно.
Торчит.
NB! Данный пост является информационным, опубликован с целью показать IT-сообществу как несогласованные действия SMM-специалистов могут отразиться на безопасности проектов в целом. Помните, что незаконный сбор персональных данных карается в большинстве стран мира.
Комментарии (20)
nerudo
18.11.2025 04:00Помнится, клоуны из говнотелекома присылали рекламное письмо "Мы позаботимся о вашей безопасности" с тысячей адресатов (больше, наверное сервер не пропускал, иначе бы они все 150млн забубенили).
asdp
18.11.2025 04:00После добавления в смородине чужого ЛС (например от съёмной квартиры) удалить его чтобы не получать кучу спама за последующие чужие долги - тот ещё квест.
И нет, просто удалить ЛС в кабинете не помогает, он исчезает, но всё равно остаётся привязан к телефону и почте из кабинета.
Нет, просто позвонить в поддержку и попросить отвязать тоже не помогает - там требуют прислать заявление (или принести лично) и приложить к нему подписанный акт передачи помещения с указанием контактов принявших лиц.
Я решил вместо этого оставить через сайт регионгаза обращение руководству, где высказал всё, что думаю об их системе, поддержке и тех, кто это придумал. И бинго - за семь минут ответили, что отвязали данные.
Теперь на очереди еирц, который в смсках уже грозится на меня подать в суд за аналогичный чужой долг по электричеству...
aGGre55or
18.11.2025 04:00У ненавидимого всеми ЕИРЦ Петроэлектросбыт плюс-минус тоже самое. Раздел "карты", "автоплатежи", номера коммунальных счетов для добавления можно брать из оффлайновых почтовых ящиков, это несложно. Домофоны ещё ни одному курьеру не помешали, не говоря уже о мошенниках.
Квитанции обычно торчат из ящиков у всего дома, так их раскладывают 
TemArtem
18.11.2025 04:00На самом деле это системная проблема всей отрасли ЖКХ, они до сих пор мыслят категориями бумажных квитанций и не понимают, что в цифровом мире номер лицевого счета - по сути логин, который нельзя разбрасывать где попало
nerudo
18.11.2025 04:00Потому что номер лицевого счета не должен быть логином. Он валяется где попало и как угодно. Единственное что по нему должно быть можно сделать - заслать туда денег. По типу банковского счета.
TemArtem
18.11.2025 04:00Вот даже не удивлен, типичная "показуха"
SMM-агентство отчитается о тысячах комментариев и "вовлеченности". Разработчики портала отчитаются об "удобной привязке счетов". Безопасники... а безопасников, видимо, просто никто не спросил. Каждый выполнил свой KPI, а то что в итоге получилась дыра размером с газовую трубу - это уже никого не волнует
Shaman_RSHU
18.11.2025 04:00Уже как пол года минимум мне письма от МРГ такие приходят, просто удалял. А тот оказывается вон оно чо :)
Afanas_ananas
18.11.2025 04:00Зайди в любой подъезд, там в почтовых ящиках в свободном доступе квитанции с лицевыми счетами сразу с привязками к квартире лежат
ganzmavag
18.11.2025 04:00Там ещё и чужие письма лежат. Это же не значит, что их содержимое надо публиковать в сети.
a_volkov1987
В сфере ЖКХ вообще очень разумные люди работают.
Я имел честь переписываться с ЕИРЦ.
Если вкратце - лет 5 назад оплатил безналом соседке-пенсионерке коммуналку по ее просьбе. Она приболела и передала мне нал, а я оплатил ей квитанции через банковское приложение.
Через несколько лет соседки не стало, ее квартиру купили другие люди. И они не слишком были аккуратны с платежами.
И тут ЕИРЦ решил, что проведенный платеж - это признак того, что я являюсь собственником проблемного счета. И можно меня заваливать емейлами с требования оплатить чужой счет ЖКХ.
Резонно же! Ведь уже платил, заплати еще.
Вобщем после N раундов переписки и общения с их поддержкой их все же отпустило и они письменно заказным таки прислали искренние извинения и признания в своей неправоте.
randomsimplenumber
И что не так? Ошиблись, извинились (без уважения). Единственное что смущает - банк поделился с ними вашими перс данными. Может и вашу карту к чужому лицевому счету подключить, наверное.
a_volkov1987
Лично я полагаю, что идентификация плательщика как владельца недвижимости, по которой проходит оплата коммунальных услуг, на основании только факта оплаты не может быть ошибочной. Она может быть только очень сильно необоснованной.
losse_narmo
Интересная получается цепочка... Заходим в подъезд. На входе стенд "самые злостные неплательщики" с номерами квартир. Выбираем понравившегося.
Берем из его ящика квитанцию
Оплачиваем
Повторяем полгода-год
...
Требуем его съехать так как мы владелец недвижимости.
Ну и как еще один вариант - человек сдает квартиру по схеме "абонентка + коммуналка". Ему кидают абонент, комуналка по счету. От этого квартирант владельцем не становится
a_volkov1987
Где-то мне уже попадался мем-переписка, в которой арендатор пытался убедить владельца, что уже суммарно выплатил стоимость квартиры за аренду и теперь он должен стать ее собственником (ну или что-то в таком духе).
Естественно, таким образом собственность не приобретается, но для ЕИРЦ это не столь очевидно.
randomsimplenumber
Не ошибочная == правильная, ага? Правильная, но необоснованная.
Сложное.
vadimk91
И банки похоже за меня решают, правда хорошо дело до списания средств не доходит, а просто уведомления падают "у вас не оплачен счет..."
Счета эти от охраны (та, которая Росгвардия, т.е. не частная лавочка). Стал разбираться, оказывается причина проста - когда-то в каждом районе был отдел охраны со своей бухгалтерией, в каждом отделе договоры нумеровали.. правильно, начиная с цифры 1. Потом их объединили, но поменять нумерацию договоров никто не подумал. Несмотря на разные адреса, я получается заключил договор не только в своем городе, но еще и в соседних. Бухгалтерия говорит "да, мы знаем, но вы не обращайте внимание :)