Приложение МосОблЕирц разглашает персональные данные абонентов

Приложение МосОблЕирц разглашает персональные данные абонентов

Пользователь «Хабра» сообщил о критической дыре в приложении от МосОблЕирц (Московский областной единый информационно-расчётный центр). Сообщается, что уязвимость довольно старая, благодаря ей персональные данные пользователей могут попасть в руки третьих лиц.

Исследователь, известный под псевдонимом bofh, так комментирует свою находку:

«”Дыре”, скорее всего, столько же лет, сколько и их мобильному приложению, и, возможно, ей уже давно кто-то пользуется. <…> Никто не думал, что можно батчем начислить 2.4 миллионам обслуживаемых абонентов рандомные расходы по счетчикам».

Также bofh подчеркивает, что злоумышленник, используя эту брешь, может получить ФИО и адрес абонентов МосОблЕирц.

Все началось с того, что знакомый bofh установил себе соответствующее приложение, указав свой личный счет. Но потом выяснилось, что он ошибся (есть еще версия, что сделал это специально) на единицу, что позволило ему получить вместо своей квартиры — следующую.

Таким образом, любой авторизовавшийся пользователь может просто подставлять различные коды личного счета, что будет выдавать ему ФИО и адреса этих абонентов.

«Опытным путем было установлено, что первые три цифры определяют город. Начислять данные по счетчикам чужим ЛС тоже, разумеется, можно. Программным способом начислять не пробовал, и надеюсь, никто не попробует», — продолжает пользователь «Хабра».

Как видно, это достаточно серьезная брешь в безопасности, которую нужно срочно устранять. Однако…

«Да, я пытался связаться с разработчиками. Нет, ответа не было»…

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

У Wildberries украли 385 млн руб. с помощью бреши в обработке платежей

Руководство интернет-магазина Wildberries обратилось к правоохранителям по факту мошенничества, в результате которого компания потеряла 385 миллионов рублей. Оказалось, что злоумышленники использовали ошибку при обработке платежей.

Схема работала следующим образом: мошенники регистрировались на площадке в качестве продавцов, после чего выставляли несуществующий товар и, выступая уже в роли покупателей, пытались оплатить его по некорректным реквизитам.

Сам реализатор при этом переводил продавцу средства, будто сделка прошла успешно. Эксперты предупреждают, что похожие мошеннические схемы угрожают всем интернет-магазинам, ориентированным на быстрый рост.

Как сообщил «Коммерсант», ему удалось ознакомиться с копией заявления представителей Wildberries, направленного в УВД по СЗАО Москвы. Маркетплейс просит полицию возбудить уголовное дело по факту похищения более 385 миллионов рублей. Фотографию заявления можно найти в Telegram-канале «Банкста».

Подробно мошенническую схему пока никто не описывает, однако известно, что Wildberries в контексте вышеописанных действий переводит продавцу деньги как за успешную продажу. При этом банк блокирует операцию подставных покупателей, но деньги интернет-магазина всё равно уходят продавцам в лице мошенников.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru