МособлЕИРЦ отдаёт ваши данные любому желающему
Пользователь «Хабрахабра» под ником bofh обнаружил, что личный кабинет МособлЕИРЦ не имеет защиты от перебора номера лицевого счёта.
— Регистрируемся в личном кабинете по адресу lkk-zkh.ru. Регистрироваться можно на выдуманные ФИО и временную почту. Номер телефона требуется, но не проверяется. Это первый косяк, потому что рядом можно поставить галку "Я согласен получать новости, информация о тарифах,сезонных акциях/скидках и пр.", отправив эту головную боль на телефон недруга. Впрочем, это ещё цветочки.
— Прикрепляем в личном кабинете номер лицевого счёта. 8 цифр. Никакой проверки на то, принадлежит ли номер вам, нет. Первые три цифры определяют город. Зная свой лицевой счёт можно, например. просто уменьшить/увеличить его на 1 и получить данные своего соседа.
— Видим ФИО плательщика, адрес, метраж, кол-во проживающих, начисления за прошлые месяцы, показания счётчиков. Передавать ложные показания тоже можно.
В МособлЕИРЦ (по их собственным словам) обслуживаются 2,4 млн абонентов. Представьте, какой сбор данных нетрудно замутить, если автоматизировать процесс. Судя по всему, уязвимость живёт там с самого начала существования системы.
Кто же это наговнокодил? Знакомьтесь — ООО «АБР Регион», которое выиграло тендер на 4 с лишним миллиона рублей: https://мособлеирц.рф/upload/iblock/430/430fdedeef279f23c353...
Пользователь, обнаруживший уязвимость, пытался связаться с разработчиками. Ответа не получил С «Хабра» топик оперативно выпилили, но Интернет всё помнит:
https://sohabr.net/habr/post/419809/
https://www.anti-malware.ru/news/2018-08-10-1447/27108
Ало, МособлЕИРЦ и «АБР Регион», вы там шо ебобо?
