ezhick (ezhick) wrote,
ezhick
ezhick

Categories:

Пользуетесь московскими парковками? Данные вашей кредитки уже у американцев!

СОДЕРЖАЩАЯСЯ В ПОСТЕ ИНФОРМАЦИЯ О ТОМ, ЧТО ПЛАТЕЖНЫЕ ДАННЫЕ ПРОХОДЯТ ЧЕРЕЗ СЕРВЕР, ПРИНАДЛЕЖАЩИЙ АМЕРИКАНСКОЙ КОМПАНИИ, НЕ СООТВЕТСТВУЕТ ДЕЙСТВИТЕЛЬНОСТИ. МНОЮ БЫЛА ДОПУЩЕНА ОШИБКА, ВЫЗВАНАЯ НЕДОСТАТОЧНОЙ КОМПЕТЕНТНОСТЬЮ В ВОПРОСАХ ИНТЕРНЕТ-ТЕХНОЛОГИЙ.

ОДНАКО, ТЕЗИС О ТОМ, ЧТО С ЭТИМИ СЕРВЕРАМИ ЕСТЬ ПРОБЛЕМЫ, ПОДТВЕРДИЛСЯ. ПОДРОБНОСТИ ПРО МОЮ ОШИБКУ И ПРО ВЫЯВЛЕННЫЕ ФАКТЫ - ПО ССЫЛКЕ.

______________________________________________________________________________

Из вчерашнего огромного поста просто необходимо выделить ключевые моменты. Начнем с самых серьезных проблем, которые удалось вскрыть - нарушений в области компьютерной безопасности и обращения с персональными данными.

Итак, как я вчера написал, все платежные операции в приложении "Парковки Москвы" для андроида (скорее всего для IOS и Windows Phone тоже) проходят через сервер с адресом gorms.mobi. вот скриншот исходного кода программы.

UPD: в связи с ошибками декомпилятора у некоторых читателей возникли вполне обоснованные сомнения в моей компетентности. Выкладываю результаты правильной декомпиляции. Ошибочные сохраняю под спойлером для понимания разночтений в оценках. Отдельно добавлю что сниф трафика показывает, что обращения на gorms.mobi идут постоянно с момента захода в меню оплаты.


[Spoiler (click to open)]
kz_source_gorms.png


Тут и платежи банковскими карточками, и со счета мобильного телефона, и привязанной банковской картой, и даже оплата штрафов.

Что плохого в этом сервере? Плохо в нем то, что он принадлежит физическому лицу, проживающему в США.


Андрей Дерябин является сотрудником американской компании Eyeline Communications Inc., зарегистрированной по этому жде адресу.

Ни у этой компании (ни у ее российской аффилированной структуры ООО "Айлайн СНГ") нет и никогда не было ни одного контракта с ГКУ "Администратор Московского Парковочного Пространства" или с любой другой московской структурой. Зато у них есть тесная аффилированность с бывшими сотрудниками ГУП Московский социальный регистр Титаренко и Матросовым, о чем я писал вчера. А именно ГУП МСР многие годы выигрывает все контракты на доработку Автоматизированной Информационной Системы "Единое Парковочное Пространство", частью которой являются система платежей и мобильные приложения.

Вот только одно "но" - у ГУП МСР сейчас тоже нет действующих контрактов на предоставление каких-либо услуг подобного рода. Единственный действующий контракт, связанный с АИС ЕПП, касается сервисного обслуживания системы, но не предоставления услуг с использованием внешних серверов.

Вывод прост - программа "Парковки Москвы" использует для обработки платежей сервер, принадлежащий иностранной компании. НЕ банку, участнику платежных систм Visa или MasterCard, а левой конторе, с номинальным юридическим адресом и учредителями - физическими лицами из Москвы, половина которых - номинальные.

Через этот сервер передается вся платежная информация, включая реквизиты кредитных карт - на скриншоте ниже видно, что передается абсолютно: все имя, номер карты, CVC, срок действия. Более того, эти данные еще и в открытом виде в лог записываются.


UPD: Для единообразия обновляю и второй кусок кода. Старый - под спойлером.

[Spoiler (click to open)]




Отягчающим обстоятельством является тот факт, что этот же сервер и эта же компания замешаны в скандале с продажей московской парковочной системы в Казахстан в качестве независимого продукта.

Жалобы в Роскомнадзор (на нарушение порядка обращения с персональными данными) и в ФСБ - на тему предоставления доступа иностранцам к данным АИС ЕПП, уйдут сегодня же. А пока - лайк, шер, репост - страна должна знать своих героев.


Tags: eyeline, аис епп, айлайн, гку ампп, гуп мср, титаренко
Subscribe

Recent Posts from This Journal

  • Зампрефекта Мухлюев

    Зампрефекта СЗАО Муляева я теперь кроме как Мухлюевым называть не могу. Не прошло и пары месяцев с момента, как я его поймал на фиктивном сносе…

  • ФАС: ничего не вижу, ничего не слышу...

    Помните историю с жуликом Видяпиным, которого из-за грехов прошлого внесли в черный список ФНС, в результате чего он не мог быть внесен в ЕГРЮЛ как…

  • Заборы рухнут, и тогда...

    Застройщик незаконного элитного ЖК "Берег столицы" начал сносить забор, который был построен за границами участка застройки, на территории…

  • Абрамян + Карапетян + Собянин = Бабаян

    Вот что пишет в своей программе самомедвеженец в Мосгордуму Роман Бабаян: А теперь посмотрите видео, в котором "независимый" кандидата  Бабаян…

  • Ливневок нет, но вы терпите

    Просто факты, а потом иллюстрация того, как мэру Собянину и его прихвостням плевать на москвичей. 3,5 года назад на Мясницкой улице завершилось…

  • Дебилы дня с сайта Мэра Москвы

    Какой Мэр, такой и сайт. Какой сайт - такие на нем и авторы. Я даже не мог ржать, когда увидел этот заголовок. Нет, я до последнего хотел верить,…

  • Бабаянова победа

    Ничему жизнь не учит Романа Бабаяна, самомедвеженца от ЕР по 5 избирательному округу на выборах в Мосгордуму. Знает он, что каждое его слово я буду…

  • Суровая правда Романа Бабаяна

    Начали приходить ответы на запросы, которые мы отправляли за стеснительного Романа Бабаяна. Ответил орган, которому было проще всех -…

  • Графологическая экспертиза подписи Романа Бабаяна

    Я публично отстаиваю свою гражданскую позицию с примерно 2012 года. За это время меня ни разу не обвиняли в заказных публикациях. Были анонимные…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 258 comments
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →