категории | RSS

Сайт реестра электронных повесток слил персональные данные пользователей

Через реестр электронных повесток, запущенный 18.09.2024, можно достать личные данные пользователей, через ID аккаунта на Госуслугах.

Уже к вечеру, после запуска сайта была обнаружена уязвимость, которая позволяет любому авторизованному пользователю посмотреть все личные данные призывников.

После авторизации можно отправить API-запрос, содержащий ID юзера на Госуслугах и получить всю информацию, включая ФИО, дату рождения, прописку, ИИН, СНИЛС, данные водительского удостоверения, паспорта и других документов.

Вот в таком вот удобном формате:

Много я повидал на своем веку, но чтобы просто наружу высунуть API, которое в json персональные данные из Госуслуг возвращает - такого еще не было, это прям какой то новый уровень проектирования системы, работающей с пользовательскими данными.



Источник новости: habr.com

DimonVideo
2024-09-19T00:50:02Z

Здесь находятся
всего 0. За сутки здесь было 0 человек
Яндекс.Метрика