Главная

«Данные вашей карты — у американцев!» Блогер рассказал об уязвимости в системе московского паркинга

Илья Зольтман Илья Зольтман

Блогер Иван Ёжиков, больше известный под своим ЖЖ-ником ezhick, рассказал об уязвимости, которая якобы существует в системе московского паркинга. По его словам, сервис оплаты парковки передаёт данные об оплате через сайт, зарегистрированный в США.

Для того чтобы доказать свою теорию, Ёжиков воспользовался декомпилятором — программой, которая позволяет получить исходный код любого приложения. С его помощью он «разобрал» приложение «Парковки Москвы» для Android и опубликовал в посте несколько скриншотов из кода.

Все платёжные операции в приложении для андроида (скорее всего для IOS и Windows Phone тоже) проходят через сервер с адресом gorms.mobi. Вот скриншот исходного кода программы:

1

По словам блогера, из кода ясно, что все платёжные данные карты — её номер, срок действия, фамилия-имя владельца и заветный CVV-код на обороте — проходят через указанный домен. При этом, домен зарегистрирован на физическое лицо, проживающее в США.

2

Ёжиков даже выяснил, что этот самый Андрей Дерябин — сотрудник американской компании Eyeline Communications Inc., зарегистрированной по адресу, указанному в регистрационных данных о домене.

Вывод прост — программа «Парковки Москвы» использует для обработки платежей сервер, принадлежащий иностранной компании. НЕ банку, участнику платёжных систем Visa или MasterCard, а левой конторе.

TKSAG решил перепроверить данные о домене gorms.mobi через сервис whois и получил следующие данные:

йцвйвйв

Как видно из скриншота, владелец домена убрал персональные данные из информации о домене. Однако с помощью другого whois-сервиса можно увидеть, как они выглядели до правок.

Также, несмотря на то что домен действительно зарегистрирован на некого гражданина США, сам сервер (то есть устройство, через которое происходит обмен данными и на котором эти данные могут храниться) находится в России. Его обслуживает российская компания Masterhost, которая на момент публикации отключила сервер.

цуацуаца

На последний факт указывают и программисты, пришедшие в комментарии к Ёжикову. Они же замечают, что в приведённых фрагментах кода нет ни строчки о том, что платёжные данные хранятся на сервере.

комменты

Ёжиков пообещал отправить жалобы на нарушение порядка обращения с персональными данными в Роскомнадзор и ФСБ. Комментариев от этих структур пока не поступало.

В январе этого года произошёл скандал с утечкой платёжных данных через приложение для вызова такси Uber. Несколько клиентов сервиса рассказали, как некто заказывает такси и расплачивается средствами с их банковских карт.

А в начале июня TKSAG рассказывал о том, как хакеры взломали твиттер-аккаунт основателя Facebook Марка Цукерберга. Оказалось, что миллиардер использует крайне простой пароль.

Что за криповые видео с Пи Дидди и Бибером. Кадры всплыли после обвинений рэпера в торговле людьми Что за криповые видео с Пи Дидди и Бибером. Кадры всплыли после обвинений рэпера в торговле людьми
Что известно о теракте в «Крокус Сити Холле». На видео люди разбивают стёкла, спасаясь от нападавших Что известно о теракте в «Крокус Сити Холле». На видео люди разбивают стёкла, спасаясь от нападавших
Как на Аскара Ильясова обрушились подписчики из-за поста Айи Шалкар об абьюзе в отношениях Как на Аскара Ильясова обрушились подписчики из-за поста Айи Шалкар об абьюзе в отношениях
Как делать ремонт без лишних трат денег и нервов Как делать ремонт без лишних трат денег и нервов
Первое видео с Кейт Миддлтон обросло теориями. Твиттерским помогли сайт с двойниками принцессы и AI Первое видео с Кейт Миддлтон обросло теориями. Твиттерским помогли сайт с двойниками принцессы и AI
У Кейт Миддлтон диагностировали рак. На видео принцесса Уэльская рассказала, что проходит курс химиотерапии У Кейт Миддлтон диагностировали рак. На видео принцесса Уэльская рассказала, что проходит курс химиотерапии
<<Переводили в Google-переводчике>>. На маркетплейсах ругают <<Заводной апельсин>> за слова на латинице <<Переводили в Google-переводчике>>. На маркетплейсах ругают <<Заводной апельсин>> за слова на латинице
Что говорит о парне его любимый супергерой. Фанаты Бэтмена одиноки, а поклонники Человека-Паука строги к себе Что говорит о парне его любимый супергерой. Фанаты Бэтмена одиноки, а поклонники Человека-Паука строги к себе
Что такое движение 4B в Южной Корее. Бойкот мужчинам за права женщин вызывает споры в рунете Что такое движение 4B в Южной Корее. Бойкот мужчинам за права женщин вызывает споры в рунете
У Роберта Паттинсона и Сьюки Уотерхаус родился ребёнок. На фото пара гуляет с первенцем У Роберта Паттинсона и Сьюки Уотерхаус родился ребёнок. На фото пара гуляет с первенцем
Что известно о конфликте Моргенштерна и «Рифмы и Панчи». Артисты обвиняют лейбл «РиП» в обмане Что известно о конфликте Моргенштерна и «Рифмы и Панчи». Артисты обвиняют лейбл «РиП» в обмане
В интервью Павла Дурова Такеру Карлсону заметили отсылку к монологу Владимира Путина о Рюриках В интервью Павла Дурова Такеру Карлсону заметили отсылку к монологу Владимира Путина о Рюриках
«Харчок в лицо всей аудитории». Первые отзывы геймеров на отечественную игру «Смута» «Харчок в лицо всей аудитории». Первые отзывы геймеров на отечественную игру «Смута»
Кто такие Коралина и Марлена. Слушатели превратили женских персонажей из песен M?neskin в типы личности Кто такие Коралина и Марлена. Слушатели превратили женских персонажей из песен M?neskin в типы личности
За что задержали Никиту Кологривого. Звезда <<Слова пацана>> устроил дебош в ресторане и укусил официантку За что задержали Никиту Кологривого. Звезда <<Слова пацана>> устроил дебош в ресторане и укусил официантку
<<Интернет умер в 2016>>. Что такое теория мёртвого интернета и почему в неё верят в 2024 году <<Интернет умер в 2016>>. Что такое теория мёртвого интернета и почему в неё верят в 2024 году
Как выглядит Марта из «Оленёнка» в реальной жизни. Зрители уверены, что нашли сталкершу в соцсетях Как выглядит Марта из «Оленёнка» в реальной жизни. Зрители уверены, что нашли сталкершу в соцсетях
«Поднялись на лото». Как пенсионерки с Патриков на голубом Porsche взорвали Reels «Поднялись на лото». Как пенсионерки с Патриков на голубом Porsche взорвали Reels
Твиттерские узнают, любили бы их мамы, если бы они были червями. Самый трогательный флешмоб 2024-го Твиттерские узнают, любили бы их мамы, если бы они были червями. Самый трогательный флешмоб 2024-го
Как Roblox стал площадкой для онлайн-митингов нового поколения Как Roblox стал площадкой для онлайн-митингов нового поколения
<<Скуф — это состояние души>>. Кто такие скуфы и как парни проводят дескуфизацию, чтобы ими не быть <<Скуф — это состояние души>>. Кто такие скуфы и как парни проводят дескуфизацию, чтобы ими не быть
Что за тренд Pepsi 0,5 у Esentai Mall в Алматы. Парни с газировками в руках ждут милф на дорогих авто Что за тренд Pepsi 0,5 у Esentai Mall в Алматы. Парни с газировками в руках ждут милф на дорогих авто
Укололся и забыл поесть. Кого из знаменитостей подозревают в похудении на «Оземпике» Укололся и забыл поесть. Кого из знаменитостей подозревают в похудении на «Оземпике»
Почему все обсуждают суд над экс-министром нацэкономики РК Бишимбаевым, обвиняемым в убийстве жены Почему все обсуждают суд над экс-министром нацэкономики РК Бишимбаевым, обвиняемым в убийстве жены