Через реестр электронных повесток, запущенный 18.09.2024, можно достать личные данные пользователей, через ID аккаунта на Госуслугах.
Уже к вечеру, после запуска сайта была обнаружена уязвимость, которая позволяет любому авторизованному пользователю посмотреть все личные данные призывников.
После авторизации можно отправить API-запрос, содержащий ID юзера на Госуслугах и получить всю информацию, включая ФИО, дату рождения, прописку, ИИН, СНИЛС, данные водительского удостоверения, паспорта и других документов.
Вот в таком вот удобном формате:
Много я повидал на своем веку, но чтобы просто наружу высунуть API, которое в json персональные данные из Госуслуг возвращает — такого еще не было, это прям какой то новый уровень проектирования системы, работающей с пользовательскими данными.
Источник: habr.com
Похожие новости:
В России заработал сайт реестра электронных повесток для военнообязанных
«Слушая подкасты, ничего не узнаешь, ты должен устать, упасть без задних ног — такой должна быть встреча с образованием»
Уровень «цифровой зрелости» компаний в России выше, чем в среднем по миру
Разработчик приложения для macOS прекратил его многолетнюю поддержку из-за блокировки API