Блогер рассказал об уязвимости в системе московского паркинга
Блогер Иван Ежиков, известный под ником ezhick, рассказал в своем "Живом Журнале" об уязвимости, которая якобы существует в системе столичного паркинга. Пользователь утверждает, что сервис оплаты парковки передает сведения об оплате через сайт, зарегистрированный в США.
Чтобы это доказать, Ежиков воспользовался декомпилятором — программой, позволяющей получить исходный код любого приложения. Таким образом, он "разобрал" приложение "Парковки Москвы" для Android и опубликовал несколько скриншотов из кода.
Все платёжные операции в приложении для андроида (скорее всего для IOS и Windows Phone тоже) проходят через сервер с адресом gorms.mobi. Вот скриншот исходного кода программы:
Ссылаясь на код, блогер утверждает, что номер, срок действия, фамилия-имя владельца и даже CVV-код на обороте платежной карты проходят через указанный домен, зарегистрированный на проживающее в США физическое лицо.
Блогер выяснил, что этот самый Андрей Дерябин является сотрудником американской компании Eyeline Communications Inc., зарегистрированной по адресу, указанному в регистрационных данных о домене.
Вывод прост — программа "Парковки Москвы" использует для обработки платежей сервер, принадлежащий иностранной компании. НЕ банку, участнику платёжных систем Visa или MasterCard, а левой конторе", -
пишет он.
Данные о домене gorms.mobi через сервис whois решили проверить журналисты Medialeaks. В итоге были получены следующие данные:
Таким образом, владелец домена убрал персональные данные из информации о домене, но whois-сервиса позволяет увидеть, как они выглядели до внесения изменений.
Несмотря на то что домен действительно зарегистрирован на гражданина США, сам сервер находится в России, и его обслуживает российская компания Masterhost, отключившая сервер на момент.
Отметим, что прокомментировавшие публикацию Ежикова программисты указали, что в приведенных фрагментах кода нет информации о том, что платежные данные хранятся на сервере.
Сам Ежиков пообещал отправить жалобы на нарушение порядка обращения с персональными данными в Роскомнадзор и ФСБ. Официальные представители этих структур пока не предоставили комментариев на этот счет.