Брешь в «Гиппо»? Можно ввести все наугад и узнать личные данные клиента сети

 
15 554
08 мая 2020 в 13:53
Автор: Станислав Иванейко
Автор: Станислав Иванейко

Читатель Onliner рассказал о серьезной проблеме с безопасностью данных клиентов сети «Гиппо»: наугад введя номер карты лояльности, почту и пароль, вы получаете доступ к личному кабинету стороннего пользователя. Мы проверили: способ действительно рабочий.

Судя по всему, уязвимость касается карт лояльности, которые не зарегистрированы на сайте. Вероятно, люди просто указывали свои ФИО и адрес проживания при получении карты, но не регистрировались. Это позволяет добавить карту на какую угодно почту — ее можно указать случайно, как и пароль. Никакого подтверждения с кодом из SMS не требуется, хоть мы и в IT-стране.

Среди доступной информации — адрес проживания (вплоть до квартиры) и ФИО, причем их можно редактировать. При этом к аккаунту привязывается почта, которую вы указали при регистрации, поэтому экспериментировать со входом в чужой личный кабинет не рекомендуем.

Мы обратились за комментарием по ситуации в «Гиппо». Там ответили, что в вопросе разберутся технические специалисты и комментарий появится позже. Материал будет дополнен, когда «Гиппо» изложит свою позицию по этой ситуации.

Покупайте с оплатой онлайн по карте Visa и выигрывайте iPhone каждую неделю

Выбор покупателей
• Вместо 47,98 руб. цена 31.19 руб. • КАРБОНАРА: лук, сыр моцарелла, крем фреш, бекон, ветчина, шампиньоны • ЦЫПЛЕНОК ДОМИНАТОР: соус чесночный, огурцы, курица, мюнхенские колбаски, сладкий перец, томаты, сыр Моцарелла; вес 1840 г
Сыр моцарелла, Томатный соус Domino's, Пепперони; вес 835 г
Лук, Сыр моцарелла, Крем фреш, Бекон, Ветчина, Шампиньоны; вес 835 г

Хроника коронавируса в Беларуси и мире. Все главные новости и статьи здесь

Наш канал в Telegram. Присоединяйтесь!

Быстрая связь с редакцией: читайте паблик-чат Onliner и пишите нам в Viber!

Самые оперативные новости о пандемии и не только в новом сообществе Onliner в Viber. Подключайтесь