Tvoju zásielku dostanem ja!

Dnes som čakal na balík od kuriéra. Dostal som sledovacie číslo zásielky ktoré keď zadáte na stránku prepravcu tak sa dozviete detailné informácie o stave a polohe vašej zásielky. Ako som zistil tak veľmi jednoducho sa viete dostať k informáciám o zasielkach ostatných ľudí ktorý si objednali zásielku u rovnakej dopravnej spoločnosti ako vy. Námatkovo som vyskúšal dve dopravné spoločnosti a obidve poskytovali informácie o zásielkach iných ľudí (napr. meno, priezvisko, adresa, gps súradnice doručenia atď). Schválne neuvádzam názvy dopravcov, nie je v mojom záujme aby ich systémy boli zneužité.

Ako to funguje ? Princíp je jednoduchý. K objednávke dostávate číslo zásielky, pomocou ktorého sa viete dostať k informáciám o vašej zásielke. Teraz spravme jednoduchý predpoklad že čísla zásielok rastú lineárne. Teda ak ste mali číslo zásielky napríklad 12345 tak nasledujúce číslo zásielky by malo byť 12346. Keďže pri sledovaní stavu vašej objednávky zadávate len číslo zásielky a žiadne dodatočné informácie tak môžete získavať údaje o zásielkách iných ľudí.

No a čo ?

Mnoho ľudí si povie: no a čo keď niekto vie údaje o mojej zásielke ? V niektorých prípadoch sa dá zistiť celé meno a adresu pre doručenie zásielky. Tieto informácie sa dajú napríklad zneužiť pri online petíciách, ľahko môže byť vaše meno zneužité na petícii o ktorej ste nikdy nepočuli.

Dostupné informácie a využitie jednoduchých prvkov sociálneho inžinierstva môžu stačiť napríklad aj na prebratie cudzej zásielky.

Napísať tento článok mi trvalo dlhšie ako napísať jednoduchý dvadsať riadkový skript ktorý vyextrahuje dáta o zásielkach zo stránok dopravcov. Problém ktorý som vyššie popísal sa nedá nazvať inak ako školáckou programátorkou chybou. Šetriť na informačných systémoch sa jednoducho nemusí vždy vyplatiť.

Show Comments