Читателски сигнал: Теч на данни от сайта на „Еконт“, могат да се пренасочват и отказват чужди пратки
Потребителите на сайта на „Еконт“ могат без особено затруднение и само с размяна на цифри в адресната лента да нанесат тежки вреди върху други клиенти на платформата. За това сигнализираха читатели на Tribune.bg.
Причина за това е слабост в платформата и нулева защита на информацията.
Проверка на медията ни потвърди опасенията на подалите сигнала за пробойна при правенето на заявки. Сред потърпевшите, до които стигнахме за броени секунди са „Булсатком“, „Викиват“, „Витамаг“, „Венера Сервиз ООД“ и „Вали Компютърс“. Имахме възможност освен да видим адреса, на който са заявили да дойде куриер, да видим часа, както и трите имена на куриера.
Безпрепятствено можехме и да променяме заявката – да въведем друг телефон, адрес и дори да я откажем.
Неограничен е и достъпът до архива със заявки за куриер от миналата година, като само 2022 в адресната лента трябва да се замени с 2021. При въвеждане на по-стара дата, потребителят попада на тестова страница за фиктивния клиент „Анна-Мария Екатеринова Многодългоимова“ на улица „Някоя си 11“.
Ако поръчките на куриер до фирмени адреси може да се приеме като нищожен проблем, то истински риск за безопасността за клиентите има в това, че могат да бъдат намерени и стотици домашни адреси.
ИТ специалистът А. Е. коментира за медията ни, че уязвимостта се проявява когато се смени със следващо или предходно число id-то на заявката за куриер в URL линка.
„След това системата визуализира данни за заявката, без да прави проверка дали ID-то на заявката отговаря и е създадена от профила, с които потребителя е логнат в системата. По тази причина, без тази проверка, на практика може да се проследят всички заявки за куриер и да бъдат пренасочени към друг адрес или да им бъде сменен телефонният номер“, потвърди той.
„Еконт“ е един от големите доставчици, които оперират на територията на страната. Шеф на фирмата е бившият транспортен министър от „Продължаваме промяната“ Николай Събев.
Tribune.bg няма да публикува адреса, който така или иначе е достъпен за хората, правещи заявки за куриери.
Ще търсим и позицията на доставчика по темата.
FaceBook Twitter Pinterest https://tribune.bg/bg/obshtestvo/chitatelski-signal-tech-na-danni-ot-sayta-na-ekont-mogat-da-se-prenasochvat-i-otkazvat-chuzhdi-pratki/