Иван Иванов
утечкой перс данных называть это — слишком громко
Прочитав комментарии, понял что нисколько, автор их не уведомил в принципе.
Помню, в середине нулевых входу был термин "кулхацкер" (можно на лурке посмотреть подробное описание). Если коротко, "позеры от хакерства и крэкерства. Употребляется по отношению к тем личностям, кто считает себя хакером".
Так вот, цель статьи, во-видимому, собрать лайков, донатов каких-то, ну и конечно потешить самолюбие. Говорить что персональные данные в открытом доступе, при том что фактически нельзя получить ни чьи персональные данные, кроме своих же — это мастерство заголовка!
Про саму дырку сказать сложно, определенно есть странное поведение. Я не знаю ничей номер iccid, да и свой чтоб посмотреть надо лезть за картой, а в плане перебора он устойчив как минимум на несколько порядков чем номера телефона. Судя по скринам, там еще регистрация с контактными данными (это не админка, т.к. регистрация открытая), возможно это влияет на поведение, но дело не в этом.
Дело в том, что именно из-за таких кулхацкеров, готовых трещать с красивыми заголовками без уведомления владельцев, у вас потом будут сливаться деньги с карточек, появляться кредиты взятые не вами, и т.д.
Дыра так понял, в том что можно свои данные посмотреть? Чужие получается нельзя, т.к. iccid маловероятно подбирать?
и другой вопрос, сколько времени компания не реагировала на информацию о баге, прежде чем опубликовать эту статью?
1) Вы публикуете статью с заголовком что якобы перс данные в открытом доступе лежат и даете все ссылки и алгоритм использования (то что чего-то не хватает — это не правда, на скринах ссылок достаточно). Конкретно в данном случае, к счастью, от открытых персональных данных есть только заголовок статейки, но в другом случае это могло бы стать существенной проблемой..
2) Не надо дурачком прикидываться, вы не уведомляли никого, разместили как есть. Всем повезло, что там нет того что в названии статьи написано.
Я больше всего х***ю от вашего пассажа сверху что вам никто ничего не дает и не платит,а вы возитесь и переписываетесь со всеми кучу времени, мол поэтому решили теперь не уведомлять никого. В тоже время у себя в профиле в других ресурсах вы гордо пишите что вы консультант по иб чуть ли не папы римского )). А по факту поступки совершаете аля школьник-кулхацкер.