И так продолжая свои мысли об полезных и не полезных вещах в моем блоге, да еще и после поста о краже личных данных и так далее. В общем приключилась занятная история!
Один человек по своей неопытности и невнимательности, повадился указывать один из моих email адресов в качестве контакта в разных сервиса. Казалось бы отправь в спам и забудь. Но вот незадача, помимо разных рассылок и писем о разном, мне приходили данные о его банковских картах и так далее. Ну с банком вопрос я решил, и мне пообещали, что впредь таких проблем не будет. И да, с банком уже все хорошо и все довольны. Но вот недавно этот субъект решил зарегистрироваться в интернет-магазине "Rozetka" и сделать подарок своей возлюбленной в виде сексапильного нижнего белья. Да-да именно такого о котором может подумать искушенным и пытливый ум =))
И вот здесь начинается самое интересное! Оказывается есть "не баг, а фича" у именитого магазина, которая позволяет получить доступ к личному кабинету без знания логина и пароля!
И все, что для этого нужно это получить доступ к письму нужного вам человека. Далее достаточно нажать скажем на ссылку отписаться от рассылки и але оп-вуаля, и вы в его личном кабинете без всяческих проблем. Можете спокойно смотреть историю его заказов, посмотреть его контактные данные, сохраненные банковские карты.
Кто-то скажет, ну так пардон уважаемый, в письме же четко сказано, что там содержатся данные для авторизации и не стоит передавать его третьим лицам!
И вы будете абсолютно правы! Но как сказал один мой знакомый:
Это вообще интересный сегмент исследований, взаимодействие технических и не-технических аспектов...
На что он получил от меня ответ:
обобщенно можно сказать, что на этом построена социальная инженерия
Ну вот например заметь я об это немного раньше, было бы очень приятно пошутить над одним человеком, что бы неповадно было ставить мне "палки в колеса".
По этому никогда не пересылайте письма без острой на то нужды кому бы то ни было. А то мало ли где такой "не баг, а фича" превратится снова из фичи в баг.