В порыве ностальгии листая письма с далёкой родины я нашёл в почтовом ящике письмо о розыгрыше. Обычно такие письма лежат в папке Спам, но оно почему-то пробилось сквозь фильтры.
Очень странные дела - подумал я, и в голове зазвучала соответствующая музыка. Открыл, проверил, SPF прошло, домен верный.
domain of peterburgregiongaz.ru designates 93.153.188.227 as permitted senderА я думал, что нигерийские спамеры решили меня разыграть. Оказалось, что не нигерийские. Полез читать письмо. У меня конечно за сотню лет вперёд уплочено, но десять тысяч то не лишние. Это почти 1,5 месяца отопления по нынешним ценам.
В письме оказалась потрясающая информация в стиле ранних конкурсов начала века:
- Подпишись на нас ВКонтакте
- Оставь в комментариях номер лицевого счёта
Ну и мотивирующее, ради чего весь этот конкурс затевался - не имей задолженностей и пользуйся личным кабинетом.
Я чо, лох что-ли? Не, я тоже хочу ДЕСЯТЬ ТЫСЯЧ РУБЛЕЙ подумал я и кликнул на обе ссылки. По первой я попал в свой личный кабинет "Мой газ", по второй в вольер полный шерстистых предков слонов.
На момент моего визита поголовье насчитывало почти 2000 особей и стремительно продолжало расти, каждые две минуты появлялся очередной человек пренебрегающий цифровой гигиеной, безопасностью персональных данных, просто здравым смыслом и выкладывал на всеобщее обозрение ключ к своему местоположению.
Это блин круче, чем пробить адрес по IP. Раньше приходилось смотреть с какого провайдера пришёл человек, рыться в логах модемных пулов, сопостовлять телефонный номер с адресной книгой. А сейчас люди добровольно внесли свои данные в цифровую БД и дают ключ от неё на всеобщее обозрение из-под своих имени и фамилии. Не очень понятно зачем у них тогда "закрытые профили" в данной ��оц.сети.
Я, конечно же, не бездействовал. Я сразу капу нажал. Сообщил данному сообществу "Газпром межрегионгаз Санкт-Петербург" о том, что у них кое-что в безопасности.
А теперь посмотрим - как всё это работает.
Сначала нам понадобится войти в свой личный кабинет, если вы нигерийский мошенник - ничего страшного, на смородина.онлайн для создания личного кабинета нужен только ящик электронной почты, без всяких авторизаций черех Макс, Госуслуги или OnlyFans. Вводите код полученный на почтовый адрес в Зимбабве и через пару секунд вы уже в личном кабинете. Там висит увлекательная табличка - у вас нет подключенных счетов.
Но... у нас же есть стадо северных оленей с номерами. Конечно есть заминка - кроме номера счёта нужно указать ещё и поставщика услуг. Там достаточно обширный список, от Анадыря до Якутска, но путём длительного перебора вариантов нам удаётся узнать, что в группе Газпром межрегионгаз Санкт-Петербург внезапно люди публикуют номера личных счетов поставщика услуг... ни за что не догадаетесь: Межрегионгаз Санкт-Петербург
Та-даааа-м! В совершенно пустом кабинете, зарегистрированным на левый емейл, мы видим заветную табличку - Лицевой счёт №********** успешно подключён.
Компания Газпром таким образом, без верификации, без проверки личности, без снятия ректальных слепков - даёт нам доступ к полному домашнему адресу пользователя ВКонтакте который повёлся на их "розыгрыш", всякие мелочи типа марки его прибора учёта (взлом по токовой петле всё ещё актуален?), ну и конечно же... Конечно же... КОНЕЧНО ЖЕ... ...твою лучшую подругу! © сами знаете кто.
Конечно же банковские данные о транзакциях, типе карты, электронном ящике пользователя.
Я бы понял, если бы это был розыгрыш от студии по педикюру в подвале хрущёвки на окраине Саратова. Приложите номер карты клиента и мы сделаем вам массаж пятки бесплатно при следующем визите.
Я понимаю розыгрышы от госкорпораций которые нанимают аутсорсеров для проведения пиаракций в странах третьего мира с ценными призами среди аборигенов (показать вам мою коллекцию ништяков? В комментах позже выложу.)
Но тут? Государственная компания, казалось бы у них есть своя СБ которая должна проверять деятельность пиарщиков, качество защиты данных в цифровых сервисах.
Или у них такого нету и всё торчит наружу?
А, да... действительно.
Торчит.
NB! Данный пост является информационным, опубликован с целью показать IT-сообществу как несогласованные действия SMM-специалистов могут отразиться на безопасности проектов в целом. Помните, что незаконный сбор персональных данных карается в большинстве стран мира.
Комментарии (2)
nerudo
18.11.2025 04:00Помнится, клоуны из говнотелекома присылали рекламное письмо "Мы позаботимся о вашей безопасности" с тысячей адресатов (больше, наверное сервер не пропускал, иначе бы они все 150млн забубенили).
a_volkov1987
В сфере ЖКХ вообще очень разумные люди работают.
Я имел честь переписываться с ЕИРЦ.
Если вкратце - лет 5 назад оплатил безналом соседке-пенсионерке коммуналку по ее просьбе. Она приболела и передала мне нал, а я оплатил ей квитанции через банковское приложение.
Через несколько лет соседки не стало, ее квартиру купили другие люди. И они не слишком были аккуратны с платежами.
И тут ЕИРЦ решил, что проведенный платеж - это признак того, что я являюсь собственником проблемного счета. И можно меня заваливать емейлами с требования оплатить чужой счет ЖКХ.
Резонно же! Ведь уже платил, заплати еще.
Вобщем после N раундов переписки и общения с их поддержкой их все же отпустило и они письменно заказным таки прислали искренние извинения и признания в своей неправоте.