---
title: "Уязвимость на портале КТЖ"
description: "Пришлось мне как-то недавно прокатиться на жедезнодорожном транспорте. Обрадовало внедерение систем ..."
author: "Revman"
published: "2016-12-09T22:32:00+00:00"
modified: "2016-12-09T22:29:02+00:00"
locale: "ru"
canonical_url: "https://yvision.kz/post/uyazvimost-na-portale-ktzh-735764"
markdown_url: "https://yvision.kz/post/uyazvimost-na-portale-ktzh-735764/markdown"
site_name: "Yvision.kz"
---

# Уязвимость на портале КТЖ

> Пришлось мне как-то недавно прокатиться на жедезнодорожном транспорте. Обрадовало внедерение систем ...

Пришлось мне как-то недавно прокатиться на жедезнодорожном транспорте. Обрадовало внедерение систем электронного билетирования, возможность оплаты через интернет, поиск и заказ билетов онлайн, в общем:

![](https://storage.yvision.kz/images/user/revman/HaBoW93H1eHi4bx2VtpaOf1BVZRc38.jpg)

Но как известно, у медали есть две стороны, обратная сторона этой - риски, связанные с использованием конфиденциальных данных третьими лицами, кражей электронных денег, попаданием электронной почты в листы спам рассылок и т.п.

Мне вспомнилась одна [статья](https://caspicasoft.com/blog/2016/10/18/epay-railways-authorization), в которой описывалась уязвимость на сайте покупки электронных билетов epay.railways.kz, позволяющая скачать все купленные билеты пользователей. Как-то не хотелось, чтобы мои билеты были доступны кому-либо ещё, и я решил проверить исправлена ли эта уязвимость.

В ходе исследования я наткнулся на интересный [документ](http://www.railways.kz/sites/all/themes/ktzh_2012/pao.pdf) (Политика акционерного общества «Қазақстан темір жолы» в области обеспечения информационной безопасности), но видимо он просто для красоты, так как теперь, чтобы вытащить ВСЕ данные из системы, нет необходимости в регистрации и авторизации. Можно получить сведения о всех билетах, способах оплаты, пассажирах, откуда и куда направляются, поезде, вагоне, месте, стоимости поездки, ФИО пассажира, номер документа, имейл, место, где был куплен билет, номер терминала, а также платежная информация. Раскрывать детали уязвимости здесь я не буду, дабы не давать возможность использования кем либо ещё, но администраторы портала могут найти её по User-Agent: "Vulnerability" (которым я стучался долго и много раз в надежде, что админы обратят внимание на нестандартный браузер). Сообщать разработчику пропало желание когда узнал, что им оказался печально известный Instant Payments.

Для подтверждения выкладываю [выжимку некоторых данных](http://pasted.co/ff5187eb) (естественно конфиденциальная информация скрыта). Формат данных: Дата отправления, Откуда, Куда, Вагон, Место, Номер электронного билета, Цена, ФИО (первые буквы), электронная почта (также скрыта) и последние 4 последние цифры карточек, вводившихся для оплаты.

Я надеюсь эту уязвимость устранят быстро и в последующем будут проводить хоть какой-нибудь мониторинг своих систем. Чтобы "ИННОВАЦИИ" было не просто новым красивым словом, а действительно чем-то прорывным и качественным.

---

Source: [https://yvision.kz/post/uyazvimost-na-portale-ktzh-735764](https://yvision.kz/post/uyazvimost-na-portale-ktzh-735764)