私はこの記事が魂の叫びではなく、自慢するものではなく、さらに、そこで誰かの評判を傷つけようとする試みでもないことをすぐに予約したいと思います。 ユーザーにサービスを提供する企業のサービスと、顧客に提供するサービスについて企業自身にサービスを提供することにもう少し注意を払うことをお勧めします。 時には、顧客の便宜のためのそのようなサービスは、自分自身、顧客、プライバシーを犠牲にします。 私の場合、これがどの程度起こったか-カットの下で。
少し叙情的な余談。 あなたがそれらを愛していないなら、あなたは開くことができません
奇妙な電話が私の電話に届き始めた瞬間を、どういうわけか逃した。 いいえ、あらゆる種類の「ソーシャル」に慣れています。 調査」、プロバイダの変更、サロンへの無料訪問などを提案しました。それは異なっていました。彼らは私に電話をし、私の配偶者に尋ねました。 番号は私に登録されていますが、私は確かにそれを知っています。 あらゆる種類の売買広告を公開するために、私は別のSIMカードを持っています。これも私の名前で書かれています。 妻は、データと私の電話番号をどこにも残せませんでした。 これはただ不快です。 これらの質問を多くしたわけではないが、一度すべてを理解した。 ただの偶然。
ある晴れた日、私の電話がモスクワから再び呼び出され(私は自分で地域に住んでいます)、調査に参加するように頼まれ、妻に尋ねられました。 私は静かに電話を切った。 1時間後、私は数年前から使用していた速達サービスから待望のSMSメッセージを受け取りました。 受け取ったものに似たテキストがViberと電子メールで送られてきました。 このSMSメッセージには、 www.XXXX.ru / dostavka /?hash = XXXXXXXXXXXXという形式の会社の公式Webサイトへのリンクが含まれていました。その後、商品の移動を追跡し、配送を管理できました(商品の拒否、配送日の選択など)。
リンクをたどると、ブラウザが電話番号と請求書番号で自動的にログインしていることがわかりました(完成した認証フォームは文字通り画面上で2秒でした)。その後、個人データが提示された個人アカウント(名前と自宅の住所)受取人、および商品の配達日時に関する情報。 そして、私は歪んでいました-私たちはしばしば配偶者の名前で配達を注文しました(彼女の名前と姓はサイトで示されていました)、彼女は会社のオフィスの近くで働いていて、通常彼女が小包を拾いやすいので そして、私は送信者Iに商品を注文したので、私の電話番号が示されました。 同時に、ログインする(つまり、身元を確認する)ためのアクションの実行は、私の側ではまったく必要ないことに気づきました。 リンクをたどると、出来上がりです! 便利なようです。
この状況により、リンクをたどった人は誰でも私の出発に関する情報(および同時に、電話番号、名前、自宅の住所など)を見ることができると想定することができました。 それ自体では、この状況はもはや快適ではありません。 同時に、アドレスの「ハッシュ」という言葉は、それに続くシーケンスが特定のハッシュ関数の結果であり、誰かの個人アカウントに入るためにシーケンスを選択することは困難であることを希望しました。 この仮定を確認するために、シーケンスの最後の文字(番号)を変更し、 他の人の個人データが利用できる他の人の個人アカウントになり、 ログインすると、他の人の電話番号が自動的に使用されました 。 「隣の」パーソナルダッシュボードを表面的に調べたところ、「?Hash = "に続く文字列はハッシュ関数の結果ではなく、個々の貨物ごとに各クライアントに発行される特定のコードであることがわかりました。 シーケンス内の他の文字を置き換える-16進数字を前または後の文字に置き換えると、許可なく他の人の個人アカウントにアクセスでき、電話番号、受信者の名前、住所(多くの場合、自宅の住所)に関する情報にアクセスできました。
これがどのように見えるかです 
だから私は、会社が顧客(そして私たちと私の配偶者)の個人データを、公式サイトにアクセスできる人なら誰でもアクセスできるページにオープンな形で保存していることを理解するのを恐れました。 全国の企業顧客の個人データにアクセスするには、個人アカウントのページを解析し、URLの「/?Hash = "に続くシーケンスの値を検索して置換するだけで十分です。 さらに、このサイトにはスクレイピングに対する絶対的な保護はありませんでした。 急いで膝の上に投げられたクローラーは、20スレッドのプロキシなしで、文字通り数分で数百のライブレコーディングを収集し、その後オフにしました。 いいえ、IPは禁止されていません。 それは爆弾でした。 公平に言えば、すべての顧客ではなく、いわば「商品を受け取るアクティブなフェーズ」にいる顧客だけを収集することが可能であったと言わなければなりません。 商品が最寄りの仕分けセンターのいずれかに到着し、商品を受け取った直後に、配送管理室へのアクセスは閉鎖されましたが、電話と貨物運送状の番号はまだ承認の形で輝いていました(つまり、ライブ番号のデータベースを収集することは依然として可能でした)
配達管理は、特定の時点まで、および受領後は利用できません。 
したがって、顧客の個人データを保存する会社の選択された方法は、このデータの第三者への無制限の開示を提供しました。これは、2006年7月27日付けの連邦法第7条および19条の第152- Roskomnadzorに文句を言いたいと思っていましたが、一方で、サイトの作成は会社のプロファイルではないことを理解していました(そして、著作権によって判断すると、彼らは自分でサイトを作成しました)。そうではない。 したがって、(自分で書くために)私は名前が荷物に届くまで数日待って、すべてがまだ機能していることを確認し、脆弱性が閉じられた後またはすぐにそれについて書くつもりであることを正直に示して、発見した問題を提示しました治療日から2週間(どちらか早い方)。 これに応じて、私は義務の感謝と、経営陣と私のマネージャーに情報を転送する約束を受け取りました。
このギャップがサイト上にどれだけ存在していたかは推測できますが、すべての関係者によって悪用されたと確信しています。 今日(ほぼ3週間後)、ギャップは縮まっているようです。 その他の点では、会社の代表者は私に連絡しませんでした。