Где найти персональные данные детей и их родителей?

в 15:59, , рубрики: дети, информационная безопасность, навигатор, небезопасно, персональные данные, уязвимость

Где найти персональные данные детей и их родителей? Узнать школу и кружки в которых учатся и занимаются дети, а самое главное, что для этого нужно?

Некое время назад (примерно полгода) со стороны нашего правительства (министерства образования) поступил “приказ”, что мол необходимо чтоб все родители записывали своих детей на кружки через “навигатора”. Участь не обошла и меня, надо записывать. Но посмотрите какие аппетиты у этой системы:

Регистрация родителя

Где найти персональные данные детей и их родителей? - 1

Добавляем ребенка

Где найти персональные данные детей и их родителей? - 2

Так себе ребенок 29 лет если что, но оно схавало.

После этого необходимо подтвердить данные ребенка, для этого нужно физически посетить одно заведение из списка там потребуется СНИЛС, который будет занесен в эту же базу.

Путем недолгих поисков и расспросов было выявлено, что у сайта р52.навигатор.дети есть поддомен для администраторов админка52.навигатор.дети

Что там можно найти? Вроде бы ничего подозрительного – обычная форма входа в админку, а также кнопки входа и регистрации. Секунду, я могу зарегистрировать администратора? А почему бы и да.

Ну и что вот мы зарегистрировались, теперь у нас есть аккаунт организации, и что, солить его? Да нет. Немного изучив его интерфейс мое внимание привлекла одна кнопка

Где найти персональные данные детей и их родителей? - 3

давайте нажмем пронеслось в моей голове, ну что же, сказано – сделано, нажимаем пишем фамилию и о чудо, вот и мои “дети”

Где найти персональные данные детей и их родителей? - 4

А теперь самое интересное, если начать стирать текст, то мы увидим это:

Где найти персональные данные детей и их родителей? - 5

Первая мысль, секунду, а что, я могу получить сразу все? Да, но нет. В чем соль при опустошении формы, можно увидеть следующий запрос:

/kid?_dc=<Unix time>&special=1&page=1&start=0&length=5

А в ответ получить список из 5 человек, с 1 страницы, начиная с 0, значение параметра “special” тоже влияет на то, кого я получу, но как – пока до конца понял. В запросе передается много дополнительных элементов (основной – это заголовок “Authorization”, содержащий ключ).

Что получаем в ответ (JSON):

"id": "*********-****-****-****-**********",

-

"site_user_id": "*******",

-

"first_name": "Твою",

Имя

"patro_name": "Безопасность",

Отчество

"last_name": "Ятестирую",

Фамилия

"birthday": "*******",

дата рождения

"snils": null,

номер СНИЛС

"is_approved": false,

СНИЛС подтвержденный?

"approve_user_id": null,

кто подтвердил

"certificate_id": "******************",

номер сертификата

"municipality_id": "4",

номер муниципалитета

"is_deleted": false,

аккаунт удален

"date_created": "*******",

дата создания

"date_updated": "*******",

дата обновления информации

"date_approved": "",

дата подтверждения информации

"sex": "W",

пол

"address_region": "",

регион проживания

"address_area": "",

область проживания

"address_address": "",

адрес проживания

"address_zip": "",

индекс

"lastmodified": "*******",

последнее обновление

"org_type": null,

-

"org_name": null,

-

"age": 13,

возраст

"fio": "Ятестирую Твою Безопасность",

ФИО

"parent_fio": "Ятестирую Твою Безопасность",

ФИО родителя

"parent_email": "*******@*****",

почта родителя

"parent_phone": "************",

номер телефона родителя

"is_resident": true,

-

"order_count": 0,

-

"approve_user_partner_id": null,

кто подтвердил информацию о родителе

"certificate_number": "************",

номер сертификата

"certificate_date_start": null,

-

"certificate_date_end": null,

-

"certificate_amount_type": "RUB",

расчетная валюта

"certificate_amount_total": 0,

на счету

"certificate_amount_on_hold": 0,

-

"certificate_amount_withdraw": 0,

-

"certificate_amount_current": 0,

-

"certificate_type": "undefined",

-

"certificate_request": null,

-

"certificate_request_processed": false,

-

"noko_kid_result_section_total": 0,

-

"municipality_name": "ГО Выкса"

название муниципалитета

Что же, настало время проверить этот сервер на отказоустойчивость. Чтобы не усложнять задачу, было решено прикрутить к этому сайту небольшой скрипт, прямо через консоль отладки.

Создаем нагрузку, не найдут ли в нас робота? Не найдут, 10 запросов в секунду из 5 потоков параллельно с разными смещениями (параметр start в запросе) в течении 10 минут подряд не привели ни к какому изменению в правах доступа к данным аккаунта. И только через 30 минут истекла сессия. Придется войти в аккаунт снова и можно продолжать.

Ну хорошо, а что дальше? Да ничего, об этой проблеме было сообщено в поддержку сервиса, в ответ на что мне заблокировали аккаунт и собственно всё, но через 6 месяцев “дырку” не залатали.

Думаю, не надо говорить, что можно сделать, зная все эти данные. Тут все – от тревожных звонков родителям, и до похищений.

Зачем, кто и чем думал при создании такого, а самое главное зачем наше правительство решило загнать всех людей в эту систему – для меня остается загадкой.

Никакая информация с данного ресурса не была сохранена и/или передана третьим лицам, а также получена способом, не предусмотренным для этого. Данная статья написана исключительно в ознакомительных целях, да и вообще является плодом воображения, действие в котором происходит в неидеальном мире.

Автор:
DY6nyon5

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js