Приложение «Парковки Москвы» может являться небезопасным
Блогер ezhick опубликовал запись, в которой утверждает, что нашел серьезную уязвимость в приложении "Парковки Москвы". По словам блогера, что все платежные операции в приложении "Парковки Москвы", по крайней мере, в его Android-версии, проходят через сервер с адресом gorms.mobi, который принадлежит физическому лицу, проживающему в США и являющемуся сотрудником американской компании Eyeline Communications.
Через этот сервер, как утверждает блогер, передается вся платежная информация, включая полные реквизиты кредитных карт. При этом данные, по его словам, в открытом виде в лог записываются. Это означает, что конфиденциальные данные пользователей "Парковок Москвы" в любой момент могут стать добычей киберпреступников, пишет ezhick.
По просьбе Computerworld старший специалист отдела безопасности сетевых приложений, Positive Technologies Александр Полунин прокомментировал эту запись: "Несмотря на то, что домен зарегистрирован на американского гражданина, серверы физически располагаются в России. Ситуация с участием Eyeline Communications Network в организации и, судя по всему, в разработке сервиса, обычному пользователю не грозит ничем опасным. Однако, чтобы судить о потенциальных угрозах, необходимо детально исследовать работу сервиса. Судя по опубликованным логам, данные передаются по зашифрованному каналу HTTPS. Подобный же механизм используется, например, когда вы оплачиваете билет на поезд или какую-нибудь интернет покупку. Поэтому ключевой вопрос заключается в доверии к Eyeline Communications Network: сохраняют ли они персональные данные и не предоставляют третьим лицам?".
