Популярная отечественная платформа для продажи электронных билетов на развлекательные мероприятия radario.ru хранит десятки тысяч уже проданных е-билетов в открытом доступе, персональные данные пользователей платформы также не защищены, сообщили D-Russia.ru в DeviceLock DLP.
Ежедневно на платформе radario.ru продаётся более 25 тысяч билетов. Пользователями сервиса являются компании и индивидуальные предприниматели, заинтересованные в организации онлайн-продаж билетов на свои мероприятия. Также на сайте сервиса можно без регистрации приобрести билеты на любое из предлагаемых мероприятий.
«Для доступа к данным о проданных билетах и к самим билетам для всех без исключения пользователей использовался один и тот же токен. Все заказы имеют сквозную нумерацию и один-единственный токен доступа ко всем уже оплаченным билетам, не надо ничего взламывать, любой жулик может получить доступ к чужим билетам», — поясняет основатель и технический директор DeviceLock DLP Ашот Оганесян.
В логах, которые также до сегодняшнего утра лежали в открытом доступе на серверах платформы, находятся данные компаний-партнёров – включая их пароли доступа к radario.ru.
Забавно читать такие новости на ресурсе, который до сих пор работает по http.
Представляю, каково вам новости в бумажной газете читать )