Рахунки всіх жителів Києва за комунальні послуги з особистою інформацією потрапили у відкритий доступ в Мережі. Про це повідомив користувач Facebook Sean Brian Townsend з посиланням на одного зі своїх читачів.
“Один з читачів звернув увагу на пост Тараса Чорновола про те, що зелена влада бреше з приводу тарифів. Але привернули його увагу не тарифи, а QR-код квитанції, який світиться пекельним червоним світлом. Вирізаємо код і розпізнаємо. Отримуємо URL https://www.gioc.kiev.ua/cabinet/login/obj_id:1034915”, – йдеться в повідомленні.
При переході за посиланням на сайт ГІОЦ можна було дізнатися ПІБ власника квартири, розмір квартири в квадратних метрах; кількість осіб, прописаних у квартирі; вартість кожного з платежів за цією адресою; платоспроможність власника – чи є заборгованість, оформлена субсидія тощо; а також якими провайдерами інтернет і ТБ користується людина.
Також за словами користувача, можна було взяти obj_id з QR-коду, збільшити на одиницю і отримати відомості про наступний об’єкт. Він підкреслив, що базу рахунків за комунальні послуги можна було завантажити повністю, перебираючи QR-коди.
За інформацією AIN.UA, вразливість у можливості перебору чужих квитанцій була виправлена. Тепер для того, щоб отримати доступ до інформації з конкретної квитанції потрібно ввести ключ авторизації. Представник Департаменту інформаційно-комунікаційних технологій КМДА повідомив виданню у відповідь на запит, що рахунки більше не знаходяться у вільному доступі.
Тепер крім введення ключа авторизації на сайті ГІОЦ введено обмеження на кількість запитів з однієї IP-адреси. Також у КМДА запевнили, що не зафіксовано випадків витоку персональних даних через рахунки-повідомлення.
