Сайт реестра электронных повесток слил персональные данные пользователей

Через реестр электронных повесток, запущенный 18.09.2024, можно достать личные данные пользователей, через ID аккаунта на Госуслугах.

Уже к вечеру, после запуска сайта была обнаружена уязвимость, которая позволяет любому авторизованному пользователю посмотреть все личные данные призывников.

После авторизации можно отправить API-запрос, содержащий ID юзера на Госуслугах и получить всю информацию, включая ФИО, дату рождения, прописку, ИИН, СНИЛС, данные водительского удостоверения, паспорта и других документов.

Вот в таком вот удобном формате:

Много я повидал на своем веку, но чтобы просто наружу высунуть API, которое в json персональные данные из Госуслуг возвращает - такого еще не было, это прям какой то новый уровень проектирования системы, работающей с пользовательскими данными.

Материал опубликован при поддержке сайта habr.com
Комментарии

    Актуальные новости по теме "Array"