[zapi]

Oli soov lõpuks oma kaua aega tagasi ostetud Ecolines-i piletid välja trükkida. Et neid jälle näha, tuleb nende veebilehel vastavasse vormi sisestada piletiostul saadud pileti id ning turvakood. Peaks ju nagu korralik süsteem olema. View ticket aadress kah tundub nagu ok http://www.eco-tickets.com/ticket.php?id=*******&l=0&trid=EEK****************, id-s tärnide asemele nr-d, trid-s isegi mingi suvaline tähede/numbrite kombinatsioon. Seekord oli aga rohkem kui üks pilet ning hakkas silma, et see justkui krüptitud parool aadressil, on tegelikult üks ja seesama kõigil enda piletitel, st mõttetu tilu-lilu näilise turvalisuse jaoks ? Id koht seal vastab pileti numbrilisele id-le, mis järjest ostetud piletitel on lihtsalt ühe koha võrra suurenev. Ning kui kõik enda piletid olid järjest ära vaadatud sama "parooliga" aadressiribal (millel kõigil turvakood tegelt erinev), sai tehtud aadressiribal lihtne tehe ja võetud enda piletite väikseim id nr miinus 1 ja oh imet, vastu vaatas juba kellegi võõra inimese pilet kogu täies hiilguses. Nimi, telefon, ostmisviis/aeg, kuhu, kust ja millal ning mis istekohal sõidab/sõitis, boonuspunktide arv ning mis kõige tähtsam pileti id ning turvakood, millega justkui süsteemi sisse logima peaks. Kui esimesed detailid on lihtsalt tavalisel inimesel haiglase huvi täitmiseks, siis nii pileti id-d , kui turvakoodi teades, saad sa vastava pileti väljumisaega muuta või selle üldse tühistada, seda nii webi kui sms-i kaudu. Edasi sai vaadatud, et töötab ka lihtsalt aadress http://www.eco-tickets.com/ticket.php?id=******* ,ehk et seal pole tegelikult mitte mingit turvalisust ning mingi ühe koodi kinnikeeramine ei aita seda süsteemi,see on infosüsteemi ülesehituse viga.

Ma olen suht pahane, et minu privaatsed andmed on üllatuslikult järjekordselt (sama jama osta.ee ja minu täpne registreeritud aadress/telefon näha järsku kõigile kasutajatele kelle oksjonil üks kõik millal parima pakkumise teinud kunagi olen, valides "saada hrx-ga") saamatute it meeste pärast netis vabalt saadaval ning mul pole suurt midagi teha, et neid seal kustutada. Et see on just saamatuse/oskuste puudumise pärast, mitte näpuvea tõttu, on arvata sellest kuidas vanasti ei suudetud boonuspuntikontode automaatset registreerimist pika aega korraldada. Ning see on ka põhjus, miks ma kirjutan siia, mitte ei saada ainult nende adminidele e-maili ja looda, et homseks on asi korras.

Ok, mu telefoni nr saab vast ka mujalt ning võib-olla kui keegi käkki tahab keerata ning pileti ära jamab, isegi välismaal olles, saab selle vkuidagi ikka korda vast, aga põhiline on see, et vargahakatistele on selle süsteemi vea tõttu täpselt teada kaua inimesed kodust ära välismaal viibivad, st millal võib nende kodu karistamatult tühjaks teha. Ning see süsteem on ju rahvusvaheline, avatud on absoluutselt kõigi ecolines-i klientide andmed, kaasaarvatud Venemaa jne, kus kriminaalne element natuke leidlikum.
Muidugi on sellel ka plusspooli, enam ei pea Ecolinesiga sõites, eespool, kohal nr 15 istuva, ilusa blondi tütarlapse telefoni nr-t küsima, lihtne robot-scänner aitab temaga ka hiljem ühenduse luua ning kasutatava soodustuse tüüp näitab kas ta on ikka sobivas eas.

[Renka]

zapi, oled sa sellest ka ecolinesile teada andnud?

[zapi]

Jah olen, hetkel pole veel vastust.
Lihtsalt ma kardan, et see viga on natuke liiga ilmselge, et antud juhul tegeleks süsteemiga kompetentsed isikud ning vastuseks tuleb kindlasti midagi ähvardavat, et ma selle ära unustaks või siis vastus et see pole justkui probleem ning privaatne e-mailide saatmine tervet süsteemi ju niikuinii uuesti ülesehitama ei pane.

[HacaX]

Kaua see Ecolines juba tegutsenud on? Paljudel vanadel süsteemidel on probleemiks, et nad on välja ehitatud siis kui turvalisuse üle veel suurt ei mõeldud ("vana hea aeg kui nett oli veel uus") ja ümber ehitamine/täiendamine võib tõsiselt lahmakas või lausa võimatu töö olla (vähemalt siis, kui süsteem ka töökõlblikuks peab jääma).

[laurx]

[zapi]

Sain siis vastuse, mis tundus oluliselt mõistlikum kui oleks oodanud(ametlikus stiilis jne),milles lubati 5 päeva jooksul asi ära parandada. Häkkima ei hakka, ei oskagi seda, küll aga kindlasti vaatan tavainimese loogikaga selle taas üle, arvatavasti tehakse ainult mingi pisimuutus.

[tonuonu]

On uudiseid?