Узбекистан, Ташкент – АН Podrobno.uz. Эксперт по цифровой безопасности Шухрат Курбанов обнаружил уязвимость в официальном приложении Poytaxt Parking для оплаты муниципальных парковок в Ташкенте. По его словам, она позволяла добавить в аккаунт чужой автомобиль и получать информацию о его парковках. После публикации оператор сервиса сообщил, что уже устраняет проблему.
Как рассказал Курбанов, для привязки автомобиля к аккаунту было достаточно знать его государственный регистрационный номер — подтверждать право владения транспортным средством не требовалось.
"Добавляя чужую машину, появляется возможность отслеживать, когда и на какую парковку владелец ставит автомобиль. Приходят уведомления с локацией и фотографией машины. Если владелец не оплатил парковку, можно увидеть и историю неоплаченных стоянок", — отметил эксперт.
По его мнению, такая возможность создает риски для конфиденциальности и может использоваться для отслеживания передвижения владельцев автомобилей. В связи с этим Курбанов призвал внедрить механизм проверки при привязке транспортного средства к аккаунту, чтобы исключить доступ к чужим данным.
Спустя некоторое время оператор парковочной системы выступил с официальным заявлением. В компании поблагодарили Курбанова за обращение внимания на проблему и сообщили, что она была известна, а работа над ее устранением уже ведется. В частности, в приложении уже временно отключили функцию привязки автомобиля по фотографии в уведомлении. Кроме того, сейчас дорабатывается механизм проверки техпаспорта при подключении машины, который должен исключить возможность получения доступа к данным чужих автомобилей.
В Poytaxt Parking также заверили, что защита персональных данных пользователей остается одним из приоритетов сервиса, а обновленный функционал приложения станет доступен в ближайшие дни.

Комментарии отсутствуют