Форум гитаристов

Любой злоумышленник может ввести ваше ФИО и дату рождения и получить ИНН. А по ИНН распечатать все долги.



Есть там такой сервис, в котором по своему ИНН можно узнать долги по недвижимости, транспортному налогу и т.д.
https://service.nalog.ru/debt/index.do
Удобная штука и на первый взгляд приватная. Только вот паралелльно там работает сервис для напоминания ИНН с огромной дырой.

http://service.nalog.ru:8080/innmy.do

Казалось бы, штука надежно защищена. Чтобы узнать свой ИНН надо знать паспортные данные.
Но видимо или кодеры поленились, или бабки слишком распилили, но проверки валидности паспортных данных там нет. Можно вводить что угодно, главное, чтобы формат совпадал. То есть любой злоумышленник может ввести ваше ФИО и дату рождения и получить ИНН. А по ИНН распечатать все долги.

Таким нехитрым способом, например, можно узнать ИНН Путина и все его задолженности.

Мелочь конечно, но для гос. учреждения такого уровня позорная.

Я проверил себя, у меня 0,02. Пеня какая-то. Не знаю откуда, но за границу могут не пустить.

Меня не посадят за то что я это использовал?

У нас в Латвии выкачали кучу данных из базы службы госдоходов (считай налоговая). Просто в урл подставляли любой айди документа и оказалось он их прекрасно возвращает. Начали качать в пятницу вечером, думали скоро спалят. Потом скриптом стали качать и качали все выходные, никакой реакции. Дыра примитивнейшая, а заплатили разработчику хорошо, а потом еще хорошо заплатили иностранным аудиторам за проверку безопасности