В сервисе онлайн-оплаты коммунальных услуг ГИВЦ (ГІОЦ) была обнаружена уязвимость, которая позволяла просматривать в открытом доступе все счета на оплату коммунальных услуг жильцов в Киеве. Для этого достаточно было перейти по ссылке следующего вида:
https://www.gioc.kiev.ua/XXX/XXX/XXX_id:999999
Перебирая цифры в такой ссылке можно было видеть данные различных пользователей, включая:
- ФИО владельца квартиры;
- площадь квартиры;
- количество зарегистрированных жильцов;
- сумму каждого из платежей по этому адресу;
- платежеспособность владельца – есть ли задолженность, оформлена ли субсидия и т.д.;
- какими провайдерами интернет и ТВ пользуется данный человек.
Как отмечают пользователи, данной уязвимости подвержены не только жители Киева, но также жители Одессы. Это связано с тем, что киевский сервис ГИВЦ основан именно на одесском сервисе ГЕРЦ.
Добавим, на момент публикации материала уязвимость уже устранена. Теперь для получения доступа к данным потребуется ввести уникальный ключ авторизации с бумажной квитанции. Это существенно усложняет возможность просмотра чужих данных – без дополнительного кода это сделать уже не получится.
Также пользователи обращают внимание на тот факт, что многие другие компании, предоставляющие коммунальные услуги (газовые компании, провайдеры интернет-доступа и ТВ), также формируют номера счетов аналогичным образом: 15001, 15002 и т.д. Так что получить доступ к информации и в других сервисах тоже теоретически можно простым перебором цифр.
Открытие для общего доступа информации об имуществе и коммунальных платежах может сулить проблемы жителям, если такими сведениями захотят воспользоваться мошенники и недоброжелатели. Например, мошенники могут сделать выборку адресов с задолженностью и, представляясь коллекторами, вымогать деньги.
Источник: AIN