Previous Entry Поделиться Next Entry
Пегас - доступность приватной информации
eugene_wechsler
В копилку к недавнему скандалу с Мегафоном. Человеку в туристическом агентстве дали номер заявки на бронь от оператора Пегас (Pegast.ru). На сайте оператора, без какой-либо предварительной регистрации, доступна форма для ввода номера и получения информации.

Т.к. человек имеет непосредственное отношение к разработке схожих систем, то у него возникло нехорошее подозрение. Он ввел следующий номер за своим и увидел чужие данные.

Пробуем на http://pegast.ru/, поле "номер заявки". Первый случайный номер:
3853333

Прибавляем единицу - получаем данные другого человека. Еще единицу - еще одного. И т.д.
Можно написать простую утилиту, забирающую все старые и новые данные с Пегаса. Не уверен, кому это может понадобиться, но наверняка в мошеннических целях использовать возможно.

  • 1
ну как бы они не скрывают, что можно посмотреть это. это же не глюк, а так и задумано.

хотя конечно это персональные данные в открытом доступе, то есть нарушение закона "О персональных данных"

Можно посмотреть свою информацию, но при последовательной генерации номеров доступна любая чужая.

  • 1
?

Log in