Перейти к содержимому
Yvision.kz
Обложка сообщества Разное
РазноеРазноеRevmanRevman

Уязвимость на портале КТЖ

Пришлось мне как-то недавно прокатиться на жедезнодорожном транспорте. Обрадовало внедерение систем электронного билетирования, возможность оплаты через интернет, поиск и заказ билетов онлайн, в общем:

Но как известно, у медали есть две стороны, обратная сторона этой - риски, связанные с использованием конфиденциальных данных третьими лицами, кражей электронных денег, попаданием электронной почты в листы спам рассылок и т.п.

Мне вспомнилась одна статья, в которой описывалась уязвимость на сайте покупки электронных билетов epay.railways.kz, позволяющая скачать все купленные билеты пользователей. Как-то не хотелось, чтобы мои билеты были доступны кому-либо ещё, и я решил проверить исправлена ли эта уязвимость.

В ходе исследования я наткнулся на интересный документ (Политика акционерного общества «Қазақстан темір жолы» в области обеспечения информационной безопасности), но видимо он просто для красоты, так как  теперь, чтобы вытащить ВСЕ данные из системы, нет необходимости в регистрации и авторизации. Можно получить сведения о всех билетах, способах оплаты, пассажирах, откуда и куда направляются, поезде, вагоне, месте, стоимости поездки, ФИО пассажира, номер документа, имейл, место, где был куплен билет, номер терминала, а также платежная информация. Раскрывать детали уязвимости здесь я не буду, дабы не давать возможность использования кем либо ещё, но администраторы портала могут найти её по User-Agent: "Vulnerability" (которым я стучался долго и много раз в надежде, что админы обратят внимание на нестандартный браузер). Сообщать разработчику пропало желание когда узнал, что им оказался печально известный Instant Payments.

Для подтверждения выкладываю выжимку некоторых данных (естественно конфиденциальная информация скрыта). Формат данных: Дата отправления, Откуда, Куда, Вагон, Место, Номер электронного билета, Цена, ФИО (первые буквы), электронная почта (также скрыта) и последние 4 последние цифры карточек, вводившихся для оплаты.

Я надеюсь эту уязвимость устранят быстро и в последующем будут проводить хоть какой-нибудь мониторинг своих систем. Чтобы "ИННОВАЦИИ" было не просто новым красивым словом, а действительно чем-то прорывным и качественным.

 

11
4
1274

Еще по теме

Уязвимость на портале КТЖ - Yvision.kz