Утекают персональные данные? Ерунда какая!

от автора

Дисклеймер:
Данной пост не содержит технических подробностей и не является описанием взлома.

tl;dr: На сайте, запущенном мэрией Новосибирска обнаружилась проблема (вероятно с кэшированием), позволяющая неавторизованному пользователю получить персональные данные пользователей сайта (включая номер мобильного телефона и возможный адрес). Спустя час после обнаружения, проблема перестала воспроизводится. Местным интернет-сми пофиг. Техподдержка сайта молчит. Cпустя день, неизвестно, исправлена ли проблема и оповещены ли пользователи о её существовании.

Таймлайн

19 марта. Утро.

Пресс-служба мэрии г.Новосибирска рассылает пресс-релиз «Об отключении воды или света можно узнать через SMS»

Текст релиза

Об отключении воды или света можно узнать через SMS
19 марта 2013 г.
Информацию подготовила: Наталья Халина, 227-41-29.

По сообщению департамента связи и информатизации мэрии, у новосибирцев появилась возможность с помощью сервиса «Мой Новосибирск» map.novo-sibirsk.ru своевременно узнавать об отключениях воды, тепла, газа и электроэнергии.
Чтобы подписаться на услугу оповещения об отключениях систем жизнеобеспечения через SMS или e-mail, необходимо пройти регистрацию в личном кабинете (http://map.novo-sibirsk.ru/ClientWebConsole/), указав свой адрес проживания (или адреса родственников, школы, детского сада и т.д.), и установить отметку об информировании при отключениях.
Как только указанный адрес будет внесен диспетчером в информационную систему мэрии, пользователь сразу же получит сообщение. При этом информация будет дублироваться и в момент начала отключения, и в момент окончания.

12:24

Новость, написанная по этому пресс-релизу появляется на Сиб.фм (Небольшой новостной сайтик — по 3 тысячи фолловеров в Фейсбуке и Твиттере, 4 — Вконтакте).

12:54

Ещё одна новость появляется на НГС (Сами они себя называют «крупнейшим городским порталом в России»).

12:55

Новость на сиб.фм читает мой знакомый и кидает мне ссылку на веб-сервис через IM.

13:00

Открыв сайт, я вижу замечательное в верхнем правом углу: Здравствуйте, mnweb [Выход].
После обновления страницы я вижу другой, более стандартный текст: «[Вход]». Не обращаю на это особого внимания.

13:05

Неспешно пытаюсь пройти регистрацию, ругаясь на абсолютно дурацкие требования. Понимаю, что без указания номера телефона этот сайт мне не откроется. Тыкаю по ссылкам в поисках FAQ,
Снова замечаю в верхнем правом углу вместо текста [Вход], примерно вот это: Здравствуйте, Андрей4500 [Выход]

Тут до меня доходит, что сайт явно показывает мне то, что не должен. Тыкаю по ссылке «Мои регистрационные параметры» — вижу форму авторизации. Несколько раз обновляю страницу.

Попалось!

Ещё несколько обновлений и я вижу другой профиль.

13:10

К этому времени я получаю подтверждение от знакомого о том, что он тоже может воспроизвести проблему и получить данные чужого профиля. С этого момента и до 14:00 проблема остаётся активной.

13:14

Быстро пишу письмо на адрес «техподдержки портала». Других контактных данных на сайте нет.

Текст письма

to: mun-portal@admnsk.ru
subject: Проблемы с безопасностью «Личного кабинета»

Здравствуйте,

При открытии map.novo-sibirsk.ru/ClientWebConsole/Parameters.aspx отображаются чужие регистрационные данные. При обновлении страницы они меняются.

Похоже, у вас серьёзные проблемы с безопасностью.

13:15

Получают ответ от робота: Ваше сообщение принято. Спасибо за информацию.
Больше писем от них получено не было.

13:31

Понимая, что оперативного ответа я не получу, пишу письмо в редакцию НГС (news@ngs.ru) с кратким описанием проблемы и просьбой временно скрыть материал. Дублирую через систему сообщения об опечатках.

Текст письма

to: news@ngs.ru
subject: Сервис SMS-оповщений мэрии позволяет без авторизации просматривать данные других пользователей

Касаемо новости: Мэрия предложила горожанам получать SMS об отключениях воды и света (http://news.ngs.ru/more/1039547/)
В данный момент при открытии map.novo-sibirsk.ru/ClientWebConsole/Parameters.aspx отображается чужой профиль пользователя (включая личные данные). После обновления они меняются Я думаю вам нужно убрать материал, пока мэрия не отреагирует на проблему, т.к. сейчас кто угодно может собрать персональные данные сотни пользователей, что захотят «протестировать сервис».

13:34

Ещё одно письмо уходит в Сиб.фм (fm@sib.fm). На данный момент только эти два источника отображается в поиске Яндекс.Новостей.

13:42

Нахожу новость на Тайга.инфо (Уникальных посетителей в день: 10 000 — 12 000) и отправляю им аналогичное письмо (info@taygainfo.ru).

14:00

Проблема больше не воспроизводится.

Подводя итог

Я не могу сказать, в чём технически заключалась проблема. Скорее всего, неправильно настроенное кэширование.

Сейчас, спустя день, о том, что проблема имела место быть нигде не написано.
Ни одно из СМИ не скрывало материал и не связалось со мной для уточнения подробностей.
Позже днём было отправлено сообщение в «техподдержку портала» с простым вопросом, ответа на него не последовало. Вероятно, эту почту никто не читает.

Я не знаю, сохраняется ли проблема на данный момент или она была исправлена. Не исключаю, что проблема не воспроизводится из-за спада посещаемости и фактически её всё ещё можно воспроизвести.

Я не знаю, но сомневаюсь, что все пользователи портала получили оповещение о том, что их данные были скомпрометированы. Если кто-то из журналистов захочет это проверить, напишите — у меня сохранилось несколько скриншотов, с номерами телефонов.

ссылка на оригинал статьи http://habrahabr.ru/post/173523/


Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *