СОДЕРЖАЩАЯСЯ В ПОСТЕ ИНФОРМАЦИЯ О ТОМ, ЧТО ПЛАТЕЖНЫЕ ДАННЫЕ ПРОХОДЯТ ЧЕРЕЗ СЕРВЕР, ПРИНАДЛЕЖАЩИЙ АМЕРИКАНСКОЙ КОМПАНИИ, НЕ СООТВЕТСТВУЕТ ДЕЙСТВИТЕЛЬНОСТИ. МНОЮ БЫЛА ДОПУЩЕНА ОШИБКА, ВЫЗВАНАЯ НЕДОСТАТОЧНОЙ КОМПЕТЕНТНОСТЬЮ В ВОПРОСАХ ИНТЕРНЕТ-ТЕХНОЛОГИЙ.
ОДНАКО, ТЕЗИС О ТОМ, ЧТО С ЭТИМИ СЕРВЕРАМИ ЕСТЬ ПРОБЛЕМЫ, ПОДТВЕРДИЛСЯ. ПОДРОБНОСТИ ПРО МОЮ ОШИБКУ И ПРО ВЫЯВЛЕННЫЕ ФАКТЫ — ПО ССЫЛКЕ.
______________________________________________________________________________
Из вчерашнего огромного поста просто необходимо выделить ключевые моменты. Начнем с самых серьезных проблем, которые удалось вскрыть — нарушений в области компьютерной безопасности и обращения с персональными данными.
Итак, как я вчера написал, все платежные операции в приложении "Парковки Москвы" для андроида (скорее всего для IOS и Windows Phone тоже) проходят через сервер с адресом gorms.mobi. вот скриншот исходного кода программы.
UPD: в связи с ошибками декомпилятора у некоторых читателей возникли вполне обоснованные сомнения в моей компетентности. Выкладываю результаты правильной декомпиляции. Ошибочные сохраняю под спойлером для понимания разночтений в оценках. Отдельно добавлю что сниф трафика показывает, что обращения на gorms.mobi идут постоянно с момента захода в меню оплаты.
Тут и платежи банковскими карточками, и со счета мобильного телефона, и привязанной банковской картой, и даже оплата штрафов.
Что плохого в этом сервере? Плохо в нем то, что он принадлежит физическому лицу, проживающему в США.
Ни у этой компании (ни у ее российской аффилированной структуры ООО "Айлайн СНГ") нет и никогда не было ни одного контракта с ГКУ "Администратор Московского Парковочного Пространства" или с любой другой московской структурой. Зато у них есть тесная аффилированность с бывшими сотрудниками ГУП Московский социальный регистр Титаренко и Матросовым, о чем я писал вчера. А именно ГУП МСР многие годы выигрывает все контракты на доработку Автоматизированной Информационной Системы "Единое Парковочное Пространство", частью которой являются система платежей и мобильные приложения.
Вот только одно "но" — у ГУП МСР сейчас тоже нет действующих контрактов на предоставление каких-либо услуг подобного рода. Единственный действующий контракт, связанный с АИС ЕПП, касается сервисного обслуживания системы, но не предоставления услуг с использованием внешних серверов.
Вывод прост — программа "Парковки Москвы" использует для обработки платежей сервер, принадлежащий иностранной компании. НЕ банку, участнику платежных систм Visa или MasterCard, а левой конторе, с номинальным юридическим адресом и учредителями — физическими лицами из Москвы, половина которых — номинальные.
Через этот сервер передается вся платежная информация, включая реквизиты кредитных карт — на скриншоте ниже видно, что передается абсолютно: все имя, номер карты, CVC, срок действия. Более того, эти данные еще и в открытом виде в лог записываются.
UPD: Для единообразия обновляю и второй кусок кода. Старый — под спойлером.
Отягчающим обстоятельством является тот факт, что этот же сервер и эта же компания замешаны в скандале с продажей московской парковочной системы в Казахстан в качестве независимого продукта.
Жалобы в Роскомнадзор (на нарушение порядка обращения с персональными данными) и в ФСБ — на тему предоставления доступа иностранцам к данным АИС ЕПП, уйдут сегодня же. А пока — лайк, шер, репост — страна должна знать своих героев.