Уязвимость на сайте Дом.ru, позволяющая получить личные данные клиентов

Информационная безопасность
Из песочницы
Должен признаться, сам был удивлен подобной ситуацией. Я вообще ни разу не сисадмин, не пишу код и даже работаю в сфере, очень далекой от IT. Короче, я менеджер. По продажам промышленного оборудования. Однако люблю поковыряться в Linux (не могу не признаться в любви к calculate-linux) и поиграть в Windows.

Итак, сегодня (на момент размещения публикации в Песочнице) 31 число, пора оплатить интернет. Побродив по сайту моего провайдера Дом.ru решил посмотреть статистику. Тут-то и началось интересное.

Я обратил внимание, что мой логин светится в адресной строке браузера. Тут же мной овладел зуд исследователя и пентестера. Я просто поменял одну цифру моего логина в строке браузера (даже не отладчика) и увидел чужую статистику с полными ФИО, №договора. В следующие пару минут я нашел еще несколько действующих договоров (если правильно понял, там возвращают ошибку, если в системе не существует логина).

Несколько скринов в подтверждение моих слов:

первый клиент
image

второй клиент
image

третий клиент
image

Естественно, я отписал провайдеру на почту с левого почтового ящика, зарегистрированного из под анонимного прокси. В нашей стране за подобное любопытство могут наказать.

письмо провайдеру

Теги:Дом.ruпентестуязвимостьперсональные данные
Хабы: Информационная безопасность
+8
25k 35
Комментарии 47

Похожие публикации

Профессия Java-разработчик
2 марта 2021107 250 ₽SkillFactory
Python для анализа данных
3 марта 202124 900 ₽SkillFactory
Профессия Product Manager
3 марта 2021108 500 ₽Нетология
Профессия Data Scientist
3 марта 2021162 000 ₽SkillFactory
Специализация Data Science
3 марта 2021114 000 ₽SkillFactory

Лучшие публикации за сутки