Уязвимости подвержен не только указанный сервис cks.com.ua, а и сайты gioc.kiev.ua и gerc.ua, каждый из которых позволяет добавить квартиру в личный кабинет и следить за ее коммунальными начислениями. Проблема актуальна, кстати, не только для жителей столицы – последний сайт предназначен для жителей Одессы, Киева, Белгорода-Днестровского, Рени, Черноморска и Южного.

Впервые я обнаружил уязвимости еще в январе 2017 года. Традиционно, попытался связаться с сотрудниками, подробно расписав всю суть ситуации, не говоря о проблемах публично:

Кто-угодно без каких-либо ограничений может добавить любой адрес – и, соответственно, узнать по любому адресу:

  • ФИО владельца квартиры; 
  • размер квартиры в кв. м; 
  • количество человек, прописанных в квартире; 
  • стоимость каждого из платежей по этому адресу; 
  • когда и в какое время были оплачены предыдущие счета; 
  • платежеспособность владельца – есть ли задолженность, оформлена ли субсидия и т.д. 

В сервисах была (а, возможно, и присутствует сейчас) и другая проблема: при регистрации не проверяется телефон. В основном, сервисы отправляют SMS, код из которого нужно ввести на сайте для того, чтобы подтвердить номер телефона. Здесь же не проверяется и email – на него должно отправляться письмо с ссылкой на подтверждение регистрации. Таким образом, можно зарегистрироваться даже с несуществующими имейлом и телефоном.

После этого я общался по телефону с их сотрудниками безопасности, также в 2017 году была переписка с сотрудниками одного из коммунальных сервисов, где, среди прочего, был получен ответ:

«Мы знаем о наших проблемах, но не со всеми согласны. К примеру, ФИО мы не можем убрать, так как существуют коммуны или л/с, оформленые на разных нанимателей и во избежание ошибок при оплате, ФИО должна быть. Площадь и количество проживающих, льготу мы специально оставили по требованию пользователей, чтобы они могли сверить информацию и проверить расчеты. На сайте стоит ограничитель на 4 объекта – оставили по просьбе пользователей сайта. Многие платят за квартиры родителей, родственников. Спасибо за ваши замечания и предложения, они взяты в работу. Если руководство что-то решит, мы вам сообщим».

Позже, исходя из анализа того, что одни из популярных платежных сервисов (Portmone, iPay, EasyPay, сервисы «ПриватБанка») не показывают информацию по адресу – для просмотра нужно ввести код (личный счет), а не домашний адрес, – а другие не показывают ФИО владельца квартиры и иную личную информацию, мной были предложены различные варианты решения ситуации.

И после обращения на одном из сайтов проблема была исправлена следующим образом: теперь для добавления квартиры обязательным стал ввод кода, который печатается на квитанции, что исключает возможность смотреть информацию о чужих квартирах, не имея к ним доступа. 

Остальные сайты проблему до сих пор не исправили.

После выхода указанной статьи, я повторно отправил несколько писем в указанные компании, однако никакого ответа до сих пор не получил. Как я уже указывал выше, проблема существует как минимум полтора года. Из-за этого любой может узнать реальное ФИО владельца квартиры, ее метраж и вашу платежеспособность и т.д.