Блогер Иван Ёжиков, больше известный под своим ЖЖ-ником ezhick, рассказал об уязвимости, которая якобы существует в системе московского паркинга. По его словам, сервис оплаты парковки передаёт данные об оплате через сайт, зарегистрированный в США.
Для того чтобы доказать свою теорию, Ёжиков воспользовался декомпилятором — программой, которая позволяет получить исходный код любого приложения. С его помощью он «разобрал» приложение «Парковки Москвы» для Android и опубликовал в посте несколько скриншотов из кода.
Все платёжные операции в приложении для андроида (скорее всего для IOS и Windows Phone тоже) проходят через сервер с адресом gorms.mobi. Вот скриншот исходного кода программы:
По словам блогера, из кода ясно, что все платёжные данные карты — её номер, срок действия, фамилия-имя владельца и заветный CVV-код на обороте — проходят через указанный домен. При этом, домен зарегистрирован на физическое лицо, проживающее в США.
Ёжиков даже выяснил, что этот самый Андрей Дерябин — сотрудник американской компании Eyeline Communications Inc., зарегистрированной по адресу, указанному в регистрационных данных о домене.
Вывод прост — программа «Парковки Москвы» использует для обработки платежей сервер, принадлежащий иностранной компании. НЕ банку, участнику платёжных систем Visa или MasterCard, а левой конторе.
Medialeaks решил перепроверить данные о домене gorms.mobi через сервис whois и получил следующие данные:
Как видно из скриншота, владелец домена убрал персональные данные из информации о домене. Однако с помощью другого whois-сервиса можно увидеть, как они выглядели до правок.
Также, несмотря на то что домен действительно зарегистрирован на некого гражданина США, сам сервер (то есть устройство, через которое происходит обмен данными и на котором эти данные могут храниться) находится в России. Его обслуживает российская компания Masterhost, которая на момент публикации отключила сервер.
На последний факт указывают и программисты, пришедшие в комментарии к Ёжикову. Они же замечают, что в приведённых фрагментах кода нет ни строчки о том, что платёжные данные хранятся на сервере.
Ёжиков пообещал отправить жалобы на нарушение порядка обращения с персональными данными в Роскомнадзор и ФСБ. Комментариев от этих структур пока не поступало.
В январе этого года произошёл скандал с утечкой платёжных данных через приложение для вызова такси Uber. Несколько клиентов сервиса рассказали, как некто заказывает такси и расплачивается средствами с их банковских карт.
А в начале июня Medialeaks рассказывал о том, как хакеры взломали твиттер-аккаунт основателя Facebook Марка Цукерберга. Оказалось, что миллиардер использует крайне простой пароль.
