Сайт реестра электронных повесток слил персональные данные пользователей

Через реестр электронных повесток, запущенный 18.09.2024, можно достать личные данные пользователей, через ID аккаунта на Госуслугах.

Уже к вечеру, после запуска сайта была обнаружена уязвимость, которая позволяет любому авторизованному пользователю посмотреть все личные данные призывников.

После авторизации можно отправить API-запрос, содержащий ID юзера на Госуслугах и получить всю информацию, включая ФИО, дату рождения, прописку, ИИН, СНИЛС, данные водительского удостоверения, паспорта и других документов.

Вот в таком вот удобном формате:

Много я повидал на своем веку, но чтобы просто наружу высунуть API, которое в json персональные данные из Госуслуг возвращает — такого еще не было, это прям какой то новый уровень проектирования системы, работающей с пользовательскими данными.

Источник: habr.com

0 0 голоса
Рейтинг новости
10030
0
Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии