В системе JD.com обнаружилась брешь, позволяющая просматривать личные данные.
Известная китайская торговая online-площадка JD.com случайно скомпрометировала конфиденциальные данные российских пользователей. 23 октября JD.com Россия запустила акцию, которая закончилась весьма плачевно как для ресурса, так и для покупателей, пишет автор блога на Geektimes, известный под псевдонимом Kyrie1965.
JD.com объявила о купонной распродаже, которая оказалась настолько популярной среди любителей совершать покупки в интернет-магазинах, что ресурс перестал справляться с наплывом запросов. Если один пользователь делился кодом с другим, последний при регистрации тоже получал купон и мог приглашать еще покупателей. «Купоны номиналом $10 раздавались всем и вся и действовали на покупки от $10,01. Т.е. фактически выходит, что огромное количество товаров можно получить за какие-то копейки», - отмечает Kyrie1965.
Несмотря на новость о досрочном прекращении акции, пользователей ждало еще одно более неприятное известие. В системе JD.com обнаружилась уязвимость, из-за которой переход по обычной ссылке мог открыть доступ к чужим заказам, в том числе, к персональным данным, включая имя, адрес и номер телефона.
«Простейшим скриптом в несколько строк с перебором номера заказа из ссылки можно выгрузить базу из сотен тысяч российских клиентов JD.com! Это эпический провал. Не сомневаюсь, что кто-то это уже сделал и завтра можно будет купить или загрузить актуальнейшую базу платежеспособных клиентов с полными контактными данными», - рассказывает Kyrie1965. Как оказалось, база скомпрометированных данных уже обнаружилась в открытом доступе.
Согласно представителям JD.com, утечка произошла якобы из-за DDoS-атаки, однако пользователи считают, что таким способом ресурс хочет оправдаться за непродуманную политику безопасности данных. Есть сведения, что жалоба на ресурс уже отправлена в Роскомнадзор.
От классики до авангарда — наука во всех жанрах