10.08.2018 08:05
bofh 7 2000 Источник
Дисклеймер: да, я пытался связаться с разработчиками. Нет, ответа не было. «Дыре» скорее всего столько же лет, сколько и их мобильному приложению, и возможно ей уже давно кто-то пользуется. И я до конца не понимаю, это везде декларируется как фича, просто никто не думал, что можно батчем начислить 2.4 миллионам обслуживаемых абонентов рандомные расходы по счетчикам. Ну и получить их ФИО\адрес, как минимум. Может и правда, ничего такого в этом нет. А может, просто пока Рублевка и другие интересные места не обслуживаются ими, но скоро будут. И тогда врядли жители этих мест порадуются, что можно будет хоть на карте с аватарками их показать.

Предыстория: коллега живет в Московской области, скачал себе приложение, указал свой ЛС счет (который печатается на квиточке), а потом то ли ошибся, то ли тупо попробовал указать счет на +1 больше. Автоинкремент типа. И получил вместо своей 57-ой квартиры — следующую, 58ую.

В общем дальше дело было нехитрое, оказалось что один раз авторизовавшись (просто любая почта с паролем), можно спокойно со своей сессией подставлять подряд 8-и значный код ЛС, и в ответ получать фио\адрес. Опытным путем было установлено, что первые три цифры определяют город. Начислять данные по счетчикам чужим ЛС тоже, разумеется, можно. Программным способом начислять не пробовал, и надеюсь, никто не попробует.

В эндпойнте фигурирует имя SmorodinaProxy, которое нас приводит к смородина.онлайн (ООО АБР Регион), а вот выигранный ими тендер на 4.1 млн рублей — архив мособлеирц.рф/upload/iblock/430/430fdedeef279f23c353c83ecd2b9df1.7z

Комментарии (7)


  1. Sabubu
    10.08.2018 11:18
    #18980363

    Будут ли последствия за такую уязвимость?


    1. bofh Автор
      10.08.2018 11:22
      #18980377
      +5

      если только для того, кто ее нашел, как у нас часто бывает.


      1. AlexanderS
        10.08.2018 11:42
        #18980461
        +1

        Ой да ладно вам, у них там примеров так же полно, когда начинают прессовать инициатора.

        Просто меня удивляет, как люди, которые вроде как должны профессионально заниматься своей деятельностью умудряются организовать свою работу так, что подобная информация просто не учитывается. Дело даже не в косяках: ну у кого их не бывало? Дело в том, что пока подобные случаи не попадают в паблик организациям свойственно вообще не шевелиться. Как-будто нет проблемы. Ладно, допустим обращение может затеряться в спаме. Но кто запрещает сделать программу вознаграждения, в, допустим, условную 1000 рублей, чтобы повысить вероятность обнаружения именно технически дельного обращения? Ведь это ж не ответственность по созданию какого-то там сайта-визитки. ПД, счета людей… Что? Баунти? Не, не слышали, мы вообще кокосы не любим, да…


  1. Evgeniy_Van
    10.08.2018 11:21
    #18980373
    +2

    Хах) два года прошло с того, как я сам наткнулся на такой функционал. Не думал, что увижу на Хабре) а вообще это очень странно, вот так просто любому аккаунту давать доступ ко всей базе, так ещё и без защиты от брутфорса


    1. sha4
      10.08.2018 12:01
      #18980579

      Ну теперь они ФИО выпилят, а от адреса оставят только номер помещения.


  1. DLavruhin
    10.08.2018 11:47
    #18980505

    Еще в копилку:
    1. http://oao-elektroset.ru/
    2. Справа — оплатить квитанцию. Вводим номер лицевого счета.
    3. Последние 3 цифры(ХХ0) для моего дома — номер квартиры и 0 в конце.
    4. Получаем форму с суммой оплаты, которая соответствует текущей задолженности.
    Соответственно используя такой не хитрый алгоритм можно посмотреть кто из соседей сколько должен\платит.


    1. d_ilyich
      10.08.2018 11:59
      #18980565

      Раз уж пошла такая пьянка :)
      «НижегородЭнергоГазРасчет» (https://www.gas-nn.ru/)

      Вход в личный кабинет — Фамилия плательщика и номер счёта. Да, тут сложнее — фамилию надо знать, и номер счёта не обязательно по порядку.

      А ещё они в квитанции указывают стоимость кубометра газа с 5-ю знаками после запятой, что противоречит законодательству. Сказали — для удобства.