Все мы уже наслышаны об утечках персональных данных, нарушителей самоизоляции. Ну понятно что все сделано "тяп ляп" потому и продукт вышел сырой. И вроде необходимо признать ошибку и начинать срочно исправлять, что я уверен делается. Но власти Москвы бомбануло и они выдали:
Личные данные нарушителей карантина в Москве могли попасть в открытый доступ по вине самих оштрафованных Источник
Там смысл такой, что граждане были возмущены, что понятно, и выкладывали в социальные сети скриншоты, где засветили уникальный идентификатор штрафа. И вот на сайте, без дополнительных проверок можно было, по этому номеру, узнать некоторые персональные данные. Причем программами можно было, путем перебора, генерировать эти номера и таким образом собрать обширную базу данных. Количество запросов/секунду ни как не ограничивалось.
 |
| Не баг, а фича |
И тут у меня родилось два вопроса.
Если власти Москвы защищаются путем нападения, будут ли исправлены баги в сервисе?
Могу ли я, если это нормально, по именам и фамилиям, путем перебора, собрать данные о всех гражданах?
Т.е. я генерирую имя, фамилию и отчество, а по нему получаю персональные данные.
Например: делаю запрос "Иван Петрович Иванов" и мне сервис выдает всех Иванов Петровичей Ивановых с их персональными данными, проживающих в Москве и Московской области.
Если уж делаете сервис для всяких там хакеров и мошенников, ну так сделайте его удобнее.
А если серьезно, без сарказма, то странно как-то. Это как разработать автомобиль с нуля, его ни разу не испытать и тут же выпустить в продажу. Неужели нет ни какого контроля качества продукта. В конечном итоге все наверняка делалось по ТЗ (Техническое задание). Кто его составлял, неужели чиновник, которому лет под 60?
И кстати, все это сделано за наши налоги. Правительство именно за наши деньги разработало ТЗ и сам сервис. Вот такая компетенция.
Но самое интересное, что у нас умеют работать с персональными данными, хотя бы даже взять банки. Неужели нельзя было проконсультироваться? Это могло произойти лишь если чиновник с деменцией в принципе не понимает словосочетание "персональные данные", а если и понимает, то представляет их исключительно в бумажном виде (например паспорт). А если паспорт по проводу передать нельзя, то и утечек быть не может.
Комментариев нет:
Отправить комментарий