Sicherheitslücke auf der Website Dom.ru, die es ermöglicht, persönliche Daten von Kunden zu erhalten

Ich muss zugeben, ich selbst war von einer ähnlichen Situation überrascht. Im Allgemeinen bin ich nie ein Systemadministrator, schreibe keinen Code und arbeite nicht einmal in einem Bereich, der sehr weit von der IT entfernt ist. Kurz gesagt, ich bin ein Manager. Beim Verkauf von Industrieanlagen. Ich mag es jedoch, mit Linux zu fummeln (ich kann meine Liebe zu Calculate-Linux nicht eingestehen ) und in Windows zu spielen.

Heute (zum Zeitpunkt der Veröffentlichung in der Sandbox) ist es also an der Zeit, für das Internet zu zahlen. Nachdem ich mich auf der Website meines Providers umgesehen hatte, beschloss Dom.ru, sich die Statistiken anzusehen. Hier begann der Spaß.

Ich habe festgestellt, dass mein Login in der Adressleiste des Browsers leuchtet. Sofort wurde ich vom Juckreiz des Forschers und des Pentesters gepackt. Ich habe nur eine Ziffer meines Logins in der Browserzeile geändert (nicht einmal einen Debugger) und die Statistiken eines anderen mit vollem Namen und Vertragsnummer gesehen. In den nächsten paar Minuten habe ich ein paar gültige Verträge gefunden (wenn ich das richtig verstanden habe, geben sie einen Fehler zurück, wenn das System Login nicht existiert).

Ein paar Screenshots zur Bestätigung meiner Worte:

erster Kunde
Bild

zweiter Kunde
Bild

dritter Kunde
Bild

Selbstverständlich habe ich mich beim Anbieter per Mail von der unter einem anonymen Proxy registrierten linken Mailbox abgemeldet. In unserem Land können sie für solche Neugier bestraft werden.

Brief an den Anbieter


Jetzt auch beliebt: