Новое слово в организации утечек: сервис продажи e-билетов держит их в открытом доступе

Популярная отечественная платформа для продажи электронных билетов на развлекательные мероприятия radario.ru хранит десятки тысяч уже проданных е-билетов в открытом доступе, персональные данные пользователей платформы также не защищены, сообщили D-Russia.ru в DeviceLock DLP.

Ежедневно на платформе radario.ru продаётся более 25 тысяч билетов. Пользователями сервиса являются компании и индивидуальные предприниматели, заинтересованные в организации онлайн-продаж билетов на свои мероприятия. Также на сайте сервиса можно без регистрации приобрести билеты на любое из предлагаемых мероприятий.

«Для доступа к данным о проданных билетах и к самим билетам для всех без исключения пользователей использовался один и тот же токен. Все заказы имеют сквозную нумерацию и один-единственный токен доступа ко всем уже оплаченным билетам, не надо ничего взламывать, любой жулик может получить доступ к чужим билетам», — поясняет основатель и технический директор DeviceLock DLP Ашот Оганесян.

Универсальный токен для доступа к е-билетам находится в общем доступе

В логах, которые также до сегодняшнего утра лежали в открытом доступе на серверах платформы, находятся данные компаний-партнёров – включая их пароли доступа к radario.ru.

Пароли клиентов также находились в открытом доступе

2 КОММЕНТАРИИ

  1. Забавно читать такие новости на ресурсе, который до сих пор работает по http.

    • Представляю, каково вам новости в бумажной газете читать )

Comments are closed.