Утечка персональных данных МосОблЕирц

Дисклеймер: да, я пытался связаться с разработчиками. Нет, ответа не было. «Дыре» скорее всего столько же лет, сколько и их мобильному приложению, и возможно ей уже давно кто-то пользуется. И я до конца не понимаю, это везде декларируется как фича, просто никто не думал, что можно батчем начислить 2.4 миллионам обслуживаемых абонентов ^[1] рандомные расходы по счетчикам. Ну и получить их ФИОадрес, как минимум. Может и правда, ничего такого в этом нет. А может, просто пока Рублевка и другие интересные места не обслуживаются ими, но скоро будут. И тогда врядли жители этих мест порадуются, что можно будет хоть на карте с аватарками их показать.

Предыстория: коллега живет в Московской области, скачал себе приложение, указал свой ЛС счет (который печатается на квиточке), а потом то ли ошибся, то ли тупо попробовал указать счет на +1 больше. Автоинкремент типа. И получил вместо своей 57-ой квартиры — следующую, 58ую.

В общем дальше дело было нехитрое, оказалось что один раз авторизовавшись (просто любая почта с паролем), можно спокойно со своей сессией подставлять подряд 8-и значный код ЛС, и в ответ получать фиоадрес. Опытным путем было установлено, что первые три цифры определяют город. Начислять данные по счетчикам чужим ЛС тоже, разумеется, можно. Программным способом начислять не пробовал, и надеюсь, никто не попробует.

В эндпойнте фигурирует имя SmorodinaProxy, которое нас приводит к смородина.онлайн ^[2] (ООО АБР Регион), а вот выигранный ими тендер на 4.1 млн рублей мособлеирц.рф/upload/iblock/430/430fdedeef279f23c353c83ecd2b9df1.7z ^[3]

Автор: bofh

Источник ^[4]