:format(webp)/nginx/o/2015/08/24/4416887t1h9aec.jpg)
Лазейка в системе защиты сайта парковочного оператора Ühisteenused AS (parkimine.ee) позволяла любому желающему получить информацию о собственниках других автомобилей. Предприятие заверяет, что проблема устранена, а оказавшаяся в открытом доступе информация не попала в чужие руки, пишет портал Geenius.
Брешь в безопасности случайно обнаружил Сийм (настоящее имя редакции известно - Geenius), которому пришло напоминание о неоплаченном штрафе за парковку. Когда он зашел на портал, то его внимание привлек адрес, который заканчивался так «…fine/123456».
«Мне стало интересно, имеются ли на сайте элементарные системы блокировки. Я просто изменил в адресной строке последние цифры. Когда вместо цифр 772217 я ввел 772218, то на экране появился штраф незнакомого мне человека», - сообщил он.
Имея возможность изучить чужой штраф, можно, например, узнать регистрационный номер автомобиля, место жительства собственника — то есть получить информацию, которая обычно не находится в открытом доступе.
Обычно системы безопасности сайтов настроены таким образом, что изменение того или иного параметра в адресной строке не дает возможности посмотреть чужие данные.
Сийм сообщил о данной проблеме фирме, где брешь в безопасности быстро исправили.
Руководитель отдела городских парковок и автомоек AS Ühisteenused Яан Вилл подтвердил порталу Geenius, что в системе безопасности сайте действительно была брешь. «Мы сразу же передали информацию в ИТ-специалистам, которые в течение получаса исправили ошибку. Также была проведена проверка системы безопасности сайта parkimine.ee», - сообщил он.
Вилл подчеркнул, что, кроме человека, обнаружившего уязвимость, больше никто не имел доступа к чужим данным. Любопытный пользователь успел изучить около десяти штрафов.
Таллиннский транспортный департамент сообщит о произошедшем автовладельцам, чьи личные данные оказались в открытом доступе из-за лазейки в системе безопасности сайта parkimine.ee, заверили в Ühisteenused AS.