Дырявые «Городские парковки»
В приложении оплаты краснодарских парковок обнаружена опасная уязвимость.
С помощью нехитрых действий любой пользователь может авторизоваться в любую учётную запись, узнать информацию о владельце аккаунта, его автомобилях, электронную почту, а также свободно использовать чужой баланс для оплаты парковки.
Уязвимости уже около месяца, причём её, скорее всего, намеренно создали разработчики приложения. В редакции «Туподара» проверили как это работает на своих учётных записях — и у них всё удалось.
Краснодарский программист Марк Небесный исследовал приложение и выяснил, что получить пароль какого угодно аккаунта через пуш стало возможным сразу же, как только приложение «Городские парковки» в начале июля было перевыпущено в App Store и Google Play от имени МКУ ЦМДДТ мэрии Краснодара.
— Думаю, что это было сделано специально, потому что за SMS-шлюз надо платить, а пуши бесплатные. Но через пуши ваш пароль может получить любой человек, даже не владелец номера. Это огромный удар по безопасности, поскольку злоумышленники могут перебрать все номера, отыскать аккаунты с положительным балансом и аннулировать его, — пояснил Марк Небесный.
Он рекомендует пользователям приложения никогда не зачислять деньги впрок, а только сумму, необходимую для оплаты парковки в эту минуту.
— Я рассказал об уязвимости администрации муниципальных парковок. Поразительно, что больше месяца дыру такого масштаба не закрывают, хотя о ней разработчик не мог не знать, — заключил программист.
Уязвимость существует в обеих версиях приложения — и для Android, и для iOS.
Напомним, спустя семь лет мэрии удалось наладить автоматическую выписку штрафов автовладельцам, которые игнорируют паркоматы. А чтобы отучить людей бесплатно бросать свои машины в центре власти увеличили с 3 раза штраф за неоплату парковки. От безысходности автомобилистам пришлось платить, но оказалось, что сделать это не всегда удается: сервисы оператора парковок откровенно глючат, а оплату наличными вовсе отменили.
Узнавай о новостях первым в WhatsApp 
, Telegram 
, ВКонтакте 
, Дзен 
и Инстаграм 
.
Последние новости
-
Автомойщик – путешественник 23.09.2021
Бомж устроился на работу в автомойку чтобы выбрать подходящую машину для путешествия и угнать ее. -
Развязка на Восточном обходе 22.09.2021
Власти обсуждают строительство двухуровневой развязки на трассе в районе поселка Новознаменского. -
Я не виновен 22.09.2021
Задержанный водитель не признал вину в совершении страшного ДТП на улице Уральской. -
День без автомобиля 2021 22.09.2021
Автомобилисты встречают Всемирный день без автомобиля в глухих пробках. -
Смертельное ДТП на Уральской 21.09.2021
Подробности массовой аварии со смертельным исходом (ВИДЕО).
-
Новые ограничения на Московской 20.09.2021
Из-за коммунальных раскопок более чем два месяца придется терпеть пробки на улице Московской в Краснодаре. -
Жесткое ДТП на Героя Аверкиева 18.09.2021
На огромной скорости столкнулись БМВ и такси «Убер», есть пострадавшие (ВИДЕО). -
Автомойщик - угонщик 17.09.2021
Сотрудник автомойки угнал машину клиента и совершил налет на продуктовый магазин. -
Одинаковые красивые номера 16.09.2021
Мужчину накажут за установку на свои машины одинаковых регистрационных знаков. -
Фура пошла на таран 15.09.2021
Подробности массового ДТП на трассе в Кореновском районе.
