また、先日、Habréで「 大手宅配会社が顧客の個人データを配信する方法 」に関する記事が公開されました。その後、多くのサービスが
さて、私の状況と結果について説明します(投稿は上記のものよりも短くなります)。
(注意を引くための写真。写真は、私が説明しているサービスには適用されません)
昨年末、私は会社が長い間脆弱性を修正したという事実にもかかわらず、私が言及しない名前のサービスを使用しました。
配送サービスのウェブサイトで、xxxxxxxx.ru / departure_track /?id = XX00000000123456YYYという形式のリンクの下に、注文したオンラインストアからの手紙で受け取った、かなり詳細な情報が示されていました。
次のデータが利用可能でした:
-オンラインストアの名前。
-オンラインストアの注文番号。
-小包の重量;
-多くの場合、物理的な住所であった問題点。 人;
-部門の連絡先電話番号。多くの場合、郵便局の電話ではなく、受信者の個人の携帯電話(自分で確認)。
他の例 
許可なしに、また出発番号の選択数に制限なく、情報を表示できました。
問題は、個人データ(携帯電話番号と自宅住所)の開示だけでなく、悪意のある人々が小包を待っている顧客に簡単に電話をかけ、たとえば(不正な)銀行カードへのコミッションの金額を転送するように依頼できることでした架空の配信の場合-クライアントを説得するために必要なすべての情報が利用可能でした。
会社に送った手紙の中で、この例を示しました。電話番号+380501234567で、次のデータを使用して電話をかけることができます。
-こんにちは、私の名前はアンドレイです。私は配達サービスXXXXXXXXの従業員です。 %COMPANY_NAME%、重量1.02 kg、オンラインストア注文番号4507XXXX-Xの小包を期待していますか?
-はい。
-あなたの住所キエフ、Tatarskaya通り、3、アパート15-それは正しいですか?
-はい。
-あなたのパッケージはすでに私たちと一緒です。 あなたは銀行カード番号512345678901234に45グリブナを支払う必要があります。 私たちが資金を受け取るとすぐに、宅配便業者はあなたのためにすぐに出発します。
-いいね。
まあ、または詐欺師のソーシャルエンジニアリングバリアントからの他の会話スクリプト。
インターネットサービスでエラーを定期的に検出するため、このような量の情報の表示を許可されていないユーザーに制限することをお勧めします。この状況は非常に現実的で危険だと思います。疑いを持たない顧客をだます新しい方法。
嬉しいことに、会社は私の手紙を考慮して脆弱性を修正し(表示するために不要なフィールドを削除し、後でキャプチャを追加しました)、2,000ルーブルを報酬として私に転送しました。
現在まで、問題は修正されており、サイトの情報は切り捨てられた形式で表示されています
ネタバレ 
したがって、メールサービスは異なります。