Счета киевлян за коммунальные услуги попали в открытый доступ

23.01.2020 Pavlov Developer

Счета киевлян за коммунальные услуги попали в открытый доступ

[ad_1]

23 Января, 2020,
08:58

1

В сервисе онлайн-оплаты коммунальных услуг ГИВЦ (ГІОЦ) обнаружили уязвимость: по определенной ссылке были доступны (на момент выхода материала уязвимость закрыта) все счета на оплату коммунальных услуг в городе Киеве.

Перебором числа в ссылке вида https://www.gioc.kiev.ua/XXX/XXX/XXX_id:999999 можно было получить:

  • ФИО владельца квартиры;
  • размер квартиры в квадратных метрах;
  • количество человек, прописанных в квартире;
  • стоимость каждого из платежей по этому адресу;
  • платежеспособность владельца – есть ли задолженность, оформлена ли субсидия и т.д.;
  • а также какими провайдерами интернет и ТВ пользуется данный человек.

Сервис ГИВЦ является популярным сервисом: например, еще в сентябре 2017-го года через данный сайт был проведен один миллион платежей.

Пользователи в комментариях к посту отметили, что данной уязвимости подвержены не только жители Киева, а и жители Одессы, так как киевский сервис ГИВЦ основан именно на одесском сервисе ГЕРЦ.

Также пользователи указывают, что многие газовые компании формируют номера счетов аналогичным образом: 15001, 15002 и т.д., как и провайдеры кабельного ТВ и интернет. Поэтому точно так же, простым перебором, можно получать информацию и в других сервисах.

Затронутая проблема — возможность получить информацию о жителях — опасна несколькими моментами:

  1. Получение достаточно большого количества информации о владельце квартиры (ФИО, размеры квартиры, количество прописанных, информация о начислениях и платежах, какими провайдерами пользуются в данной квартире);
  2. Мошенники могут выбирать адреса с задолженностью и представляться коллекторами: “Заплатите хотя бы часть, иначе отключим прямо сейчас свет/газ/воду”;
  3. Недоброжелатели могут указывать ошибочные показатели счетчиков как у случайных пользователей, так и у соседей. Особенно это может быть неприятно, учитывая необходимость в дальнейших исправлениях таких показателей реальными владельцами.

Подобная проблема была обнаружена автором данного материала в коммунальных сервисах для Одессы, Киева, Белгорода-Днестровского, Рени, Черноморска и Южного, два года назад — в январе 2017-го. А подробный разбор проблемы был опубликован на AIN.UA в мае 2018-го. После выхода материала проблему добавления чужих квартир исправили путем требования обязательного ввода уникального кода с бумажной квитанции.

По состоянию на момент публикации статьи, уязвимость в возможности перебора чужих квитанций исправлена аналогичным способом: теперь требуется ввести ключ авторизации, что исключает возможность получать информацию о чужих квартирах, не имея к ним доступа:



[ad_2]
Источник