вторник, 29 мая 2012 г.

Дыра в сайте курьерской службы

Ужас! Совершенно случайно заметил, что Google индексирует страницы с tracking details одной известной курьерской службы. Т.е. можно узнать, кому что доставили. Или не доставили. Имея эту информацию, мошенник может, к примеру, попытаться организовать повторную доставку на свой адрес и т.д. Ну, и вообще это по идее конфиденциальная информация. Руки вебмастерам поотбивать надо! Речь ведь тут не идет о каких-то хитрых методах взлома - простой поиск в Google дает массу информации. Просто удивительно - неужели я первый, кто заметил? Пока не буду называть здесь эту контору. Я им отправил емейл - посмотрим, закроют ли дыру.

P.S. Меня тут некоторые читатели неправильно поняли. Уточняю: в моем запросе не было никаких tracking numbers. Я искал адрес почтового отделения, а мне открылись tracking details каких-то незнакомых индусов.

4 комментария:

KEHT комментирует...

А что за проблема с этим?? Ведь они никто точного адреса не пишут даже в деталях??

Valik комментирует...

Насколько я понимаю, для того, чтобы затребовать redelivery на другой адрес, достаточно знать tracking number. Конечно, новый адрес у них останется в базе, т.е. потом можно будет найти, но всё равно немного нехорошо. Плюс там пишется фамилия того, кто расписался в получении. Да, наверное, ничего особо страшного нет, но как-то неприятно, что любой может посмотреть, откуда кому слали посылки...

KEHT комментирует...

По-моему только тот кто отправил может затребовать re-delivery на другой адрес. Получатель же может только получить посылку в их офисе предъявив ID.

Valik комментирует...

Зависит от службы. Например, у нас есть DX (она, в частности, занимается доставкой паспортов с американскими визами, так вот у них можно заказать re-delivery в офис. Правда, может действительно для этого нужно ID.

Ratings by outbrain