Счета киевлян за коммунальные услуги попали в открытый доступ

273

В сервисе онлайн-оплаты коммунальных услуг ГИВЦ (ГІОЦ) обнаружили уязвимость: по определенной ссылке были доступны (на момент выхода материала уязвимость закрыта) все счета на оплату коммунальных услуг в городе Киеве.

Перебором числа в ссылке вида https://www.gioc.kiev.ua/XXX/XXX/XXX_id:999999 можно было получить:

-ФИО владельца квартиры;
-размер квартиры в квадратных метрах;
-количество человек, прописанных в квартире;
-стоимость каждого из платежей по этому адресу;
-платежеспособность владельца – есть ли задолженность, оформлена ли субсидия и т.д.;
-а также какими провайдерами интернет и ТВ пользуется данный человек.

11112.jpg (85 KB)

2221.jpg (71 KB)

Сервис ГИВЦ является популярным сервисом: например, еще в сентябре 2017-го года через данный сайт был проведен один миллион платежей.

Пользователи в комментариях к посту отметили, что данной уязвимости подвержены не только жители Киева, а и жители Одессы, так как киевский сервис ГИВЦ основан именно на одесском сервисе ГЕРЦ.

Также пользователи указывают, что многие газовые компании формируют номера счетов аналогичным образом: 15001, 15002 и т.д., как и провайдеры кабельного ТВ и интернет. Поэтому точно так же, простым перебором, можно получать информацию и в других сервисах.

Затронутая проблема — возможность получить информацию о жителях — опасна несколькими моментами:

1. Получение достаточно большого количества информации о владельце квартиры (ФИО, размеры квартиры, количество прописанных, информация о начислениях и платежах, какими провайдерами пользуются в данной квартире);
2. Мошенники могут выбирать адреса с задолженностью и представляться коллекторами: “Заплатите хотя бы часть, иначе отключим прямо сейчас свет/газ/воду”;
3. Недоброжелатели могут указывать ошибочные показатели счетчиков как у случайных пользователей, так и у соседей. Особенно это может быть неприятно, учитывая необходимость в дальнейших исправлениях таких показателей реальными владельцами.

Подобная проблема была обнаружена автором данного материала в коммунальных сервисах для Одессы, Киева, Белгорода-Днестровского, Рени, Черноморска и Южного, два года назад — в январе 2017-го. А подробный разбор проблемы был опубликован на AIN.UA в мае 2018-го. После выхода материала проблему добавления чужих квартир исправили путем требования обязательного ввода уникального кода с бумажной квитанции.

По состоянию на момент публикации статьи, уязвимость в возможности перебора чужих квитанций исправлена аналогичным способом: теперь требуется ввести ключ авторизации, что исключает возможность получать информацию о чужих квартирах, не имея к ним доступа:

33333.png (68 KB)

Источник: ain.ua