Уязвимости подвержен не только указанный сервис cks.com.ua, а и сайты gioc.kiev.ua и gerc.ua, каждый из которых позволяет добавить квартиру в личный кабинет и следить за ее коммунальными начислениями. Проблема актуальна, кстати, не только для жителей столицы – последний сайт предназначен для жителей Одессы, Киева, Белгорода-Днестровского, Рени, Черноморска и Южного.
Впервые я обнаружил уязвимости еще в январе 2017 года. Традиционно, попытался связаться с сотрудниками, подробно расписав всю суть ситуации, не говоря о проблемах публично:
Кто-угодно без каких-либо ограничений может добавить любой адрес – и, соответственно, узнать по любому адресу:
- ФИО владельца квартиры;
- размер квартиры в кв. м;
- количество человек, прописанных в квартире;
- стоимость каждого из платежей по этому адресу;
- когда и в какое время были оплачены предыдущие счета;
- платежеспособность владельца – есть ли задолженность, оформлена ли субсидия и т.д.
В сервисах была (а, возможно, и присутствует сейчас) и другая проблема: при регистрации не проверяется телефон. В основном, сервисы отправляют SMS, код из которого нужно ввести на сайте для того, чтобы подтвердить номер телефона. Здесь же не проверяется и email – на него должно отправляться письмо с ссылкой на подтверждение регистрации. Таким образом, можно зарегистрироваться даже с несуществующими имейлом и телефоном.
После этого я общался по телефону с их сотрудниками безопасности, также в 2017 году была переписка с сотрудниками одного из коммунальных сервисов, где, среди прочего, был получен ответ:
«Мы знаем о наших проблемах, но не со всеми согласны. К примеру, ФИО мы не можем убрать, так как существуют коммуны или л/с, оформленые на разных нанимателей и во избежание ошибок при оплате, ФИО должна быть. Площадь и количество проживающих, льготу мы специально оставили по требованию пользователей, чтобы они могли сверить информацию и проверить расчеты. На сайте стоит ограничитель на 4 объекта – оставили по просьбе пользователей сайта. Многие платят за квартиры родителей, родственников. Спасибо за ваши замечания и предложения, они взяты в работу. Если руководство что-то решит, мы вам сообщим».
Позже, исходя из анализа того, что одни из популярных платежных сервисов (Portmone, iPay, EasyPay, сервисы «ПриватБанка») не показывают информацию по адресу – для просмотра нужно ввести код (личный счет), а не домашний адрес, – а другие не показывают ФИО владельца квартиры и иную личную информацию, мной были предложены различные варианты решения ситуации.
И после обращения на одном из сайтов проблема была исправлена следующим образом: теперь для добавления квартиры обязательным стал ввод кода, который печатается на квитанции, что исключает возможность смотреть информацию о чужих квартирах, не имея к ним доступа.
После выхода указанной статьи, я повторно отправил несколько писем в указанные компании, однако никакого ответа до сих пор не получил. Как я уже указывал выше, проблема существует как минимум полтора года. Из-за этого любой может узнать реальное ФИО владельца квартиры, ее метраж и вашу платежеспособность и т.д.