Information Leakage на www.kyiv.ukrtelecom.ua
23:58 05.03.2010Як я нещодавно згадував, в цьому році житель Луцька дістав базу даних Укртелекома і намагався її продати, після чого був пійманий міліцією. При тому, що подібні диски з Базою 09 продаються в Україні вже багато років, зокрема в Києві. Тому Укртелеком сам постійно створює подібні витоки даних, що й дозволяє створювати подібні БД та поширювати їх на компакт дисках.
І раніше я вже писав про уразливість на сайті Укртелекома, що дозволяє отримати всі дані з їхньої БД (в тому числі потенційно й ті, яких не знайдеш в Базі 09). Так що можливість витоків даних від Укртелекома цілком зрозуміла.
Нещодавно, 21.02.2010, досліджуючи це питання за Базою 09, я зайшов на http://www.kyiv.ukrtelecom.ua і виявив Information Leakage уразливість. Що призводить до витоку даних про абонентів Укртелекома.
В своїй онлайновій базі Служба 109, Укртелеком видає забагато інформації. Він видає не тільки телефон, але й призвіще, ініціали (невірно) і вулицю (без дома і квартири). При цьому дозволяє використовувати wildcard-символи.
Хоча сам заявляє про “пошук телефону абонентів квартирного сектору”, тобто повинен тільки телефони видавати. Тобто він дає завеликий витік інформації. За допомогою даного сервісу можна знайти забагато інформації, навіть не маючи Бази 09.