Брешь в защите сайта позволяла любому желающему получить доступ к данным автовладельцев

ФОТО: Toomas Huik

Лазейка в системе защиты сайта парковочного оператора Ühisteenused AS (parkimine.ee) позволяла любому желающему получить информацию о собственниках других автомобилей. Предприятие заверяет, что проблема устранена, а оказавшаяся в открытом доступе информация не попала в чужие руки, пишет портал Geenius.

Брешь в безопасности случайно обнаружил Сийм (настоящее имя редакции известно - Geenius), которому пришло напоминание о неоплаченном штрафе за парковку. Когда он зашел на портал, то его внимание привлек адрес, который заканчивался так «…fine/123456».

«Мне стало интересно, имеются ли на сайте элементарные системы блокировки. Я просто изменил в адресной строке последние цифры. Когда вместо цифр 772217 я ввел 772218, то на экране появился штраф незнакомого мне человека», - сообщил он.

Имея возможность изучить чужой штраф, можно, например, узнать регистрационный номер автомобиля, место жительства собственника — то есть получить информацию, которая обычно не находится в открытом доступе.

Обычно системы безопасности сайтов настроены таким образом, что изменение того или иного параметра в адресной строке не дает возможности посмотреть чужие данные.

Сийм сообщил о данной проблеме фирме, где брешь в безопасности быстро исправили.

Руководитель отдела городских парковок и автомоек AS Ühisteenused Яан Вилл подтвердил порталу Geenius, что в системе безопасности сайте действительно была брешь. «Мы сразу же передали информацию в ИТ-специалистам, которые в течение получаса исправили ошибку. Также была проведена проверка системы безопасности сайта parkimine.ee», - сообщил он.

Вилл подчеркнул, что, кроме человека, обнаружившего уязвимость, больше никто не имел доступа к чужим данным. Любопытный пользователь успел изучить около десяти штрафов.

Таллиннский транспортный департамент сообщит о произошедшем автовладельцам, чьи личные данные оказались в открытом доступе из-за лазейки в системе безопасности сайта parkimine.ee, заверили в Ühisteenused AS.

Читать также

НАВЕРХ