На днях решил заказать еду в достаточно крупной сети ресторанов SushiStore (74 точки в Москве и МО), которая делает довольно неплохие суши. Однако при попытке залогиниться на сайте столкнулся с тем, что SMS с кодом подтверждения перестал приходить. Попробовал отправить код повторно несколько раз, а потом написал в службу поддержки. В поддержке мне ответили, что в качестве кода подтверждения необходимо вводить четыре последние цифры Вашего номера телефона. Да-да, Вы не ослышались, ВАШЕГО номера телефона! Посмотрев более внимательно на форму входа, я действительно увидел соответствующую инструкцию:
Я не мог поверить своим глазам, но все-таки ввел сначала свой номер телефона, а потом четыре его последние цифры, и к моему удивлению незамедлительно попал в свой личный кабинет. Тут моя челюсть просто отпала:
Если кто не понял, поясню — для входа в личный кабинет на сайте используется по-сути только публично известная информация — Ваш номер телефона. Нет никаких секретов (паролей), никакого второго фактора. Таким образом, если кто-то знает Ваш номер телефона, то он может войти в Ваш личный кабинет и узнать следующую персональную информацию о Вас:
Ваше имя,
Ваш E-Mail,
Ваши физические адреса, куда Вы заказываете суши,
Всю историю Ваших заказов, что может частично раскрывать Ваше финансовое состояние.
Если пойти несколько дальше, то написать несложную программу, которая на основе имеющейся базы Российских номеров телефонов (или методом перебора) выгрузит всю базу данных клиентов компании с их персональными данными не составит особого труда.
Уведомление об уязвимости
Обнаружив данное вопиющее нарушение (а возможно и федеральное преступление) я незамедлительно написал в компанию через чат обратной связи. Оператор просто проигнорировал мое сообщение и ничего не ответил. В 13:40 первого дня я нашел на сайте компании E-Mail адрес отдела сотрудничества — avk@sushistore.ru (это был единственный наиболее подходящий адрес в разделе контактов) и попросил связать меня с руководителем компании. В 14:45 мне пришло ответное письмо (судя по всему из маркетингового отдела компании) с просьбой прислать подробную информацию. В 15:29 я выслал подробную информацию с описанием уязвимости. В 15:44 мне пришел ответ с устной благодарностью и обещанием передать информацию в IT-отдел. Сейчас идёт уже второй день, время на часах 17:05. Т. е. с момента подсветки уязвимости прошло уже 26 часов, а компания не предприняла никаких действий, чтобы устранить её.
Учитывая как безалаберно и несерьезно компания относится к персональным данным своих клиентов, я принял решение опубликовать эту информацию публично, чтобы пользователи могли собственноручно обезопасить свои данные путем удаления их с сайта.
Рекомендации к действию
Если Вы являетесь пользователем компании SushiStore, то я настоятельно рекомендую незамедлительно зайти в свой личный кабинет и удалить все свои персональные данные.
Также в качестве общей рекомендации могу посоветовать следующее:
внимательно относитесь к тому, где Вы оставляете свои персональные данные, если сервис не вызывает доверия, то лучше этого вообще не делать,
оставляйте только минимум своих данных. Если это не нарушает закона и договоров, используйте обфусцированные данные, где это возможно,
никогда не используйте для регистрации публично известные номера телефонов, а лучше заведите себе отдельный номер телефона и используйте его исключительно для регистраций,
используйте мультифактор везде где это возможно,
если есть возможность, заводите себе отдельные почтовые ящики для различных сервисов,
всегда используйте уникальные пароли для каждого отдельного сервиса.
Оставайтесь на безопасной стороне и всегда будьте начеку!