Пароль в стиле SushiStore — как войти в любой аккаунт бесплатно и без SMS?

Довольно забавная ситуация приключалась с пользователем портала Хабр @fominslava. При заказе на сайте крупного ресторана SushiStore, не работала форма входа в аккаунт, а именно, не приходил одноразовый код в SMS. Обратившись в техподдержку, пользователю посоветовали гениальное решение — ввести четыре последние цифры номера телефона. И всё. Как оказалось, подобная инструкция также указывалась на самой форме авторизации.

Пароль в стиле SushiStore - как войти в любой аккаунт бесплатно и без SMS?

Здорово, не правда ли? Чтобы открыть нужную дверь, у вас должен быть ключ. Кстати, ключ под ковриком. Не благодарите.

Герой поста так и сделал. Ввел сначала свой номер телефона, а затем четыре его последние цифры и спокойно попал в свой личный кабинет.

Пароль в стиле SushiStore - как войти в любой аккаунт бесплатно и без SMS?

Таким вот нехитрым способом, любой желающий может ввести номер телефона любого человека, а в качестве подтверждения, последние четыре цифры этого же номера и попасть в личный кабинет с персональными данными, получив доступ к:

  • Логину
  • ФИО
  • Телефону
  • E-mail
  • Дате рождения
  • Адресу проживания
  • Истории заказов
  • Программе лояльности

Классный набор. Какую базу можно собрать!

Что было дальше?

Наш герой, как честный и законопослушный гражданин, решил сообщить о данном инциденте в компанию SushiStore. Хотя, казалось бы, техподдержка уже в курсе этой ситуации (раз сама дала совет где брать «одноразовый код»).

При первой попытке связаться с компанией через чат обратной связи, пользователь был просто проигнорирован (правильно, зачем еще нужны чаты на сайте, не для оперативной связи ведь, не правда ли?).

Во второй раз, герой находит почту для обратной связи и высылает всю информацию уже туда. В процессе, его просят более подробно описать уязвимость. В итоге, получаем устную благодарность и обещание передать информацию в IT отдел.

Реакция SushiStore?

Вы наверное подумали, что IT отдел компании в поте лица пыхтит над решением проблемы, а отдел маркетинга готовит соответствующее заявление с извинениями в своих социальных сетях? Смею вас удивить. А может и нет. Спустя двое суток после сообщения об уязвимости, «дырища» как была, так и осталась. Более того, на момент написания поста в моем блоге, компания SushiStore не удосужилась дать хоть какой-то комментарий на своем сайте или в социальных сетях. Это ведь такой пустяк, верно?

Так-как не последовало никакой адекватной реакции от SushiStore, последовала вполне адекватная реакция от пользователя, который нашел данную уязвимость. Он решил рассказать о ней с той целью, чтобы вы смогли удалить свои аккаунты и персональные данные из такого «дырявого» сайта.

Ну что, ждем штраф в 60 тыс. рублей?

Dzhamil - блог