Újabb ordító, amatőr biztonsági rést fogtunk
A szabadalmi hivatal béna, de annál súlyosabb hibájáról szóló cikkünkre érkezett olvasói levél alapján fedeztük fel, hogy ugyanilyen hiba van a Józsefvárosi Parkolás-üzemeletetési Szolgálat rendszerében. Ha valaki már kapott bírságot, egy weboldalon megnézheti a hozzá tartozó fotót. A fotó egyszerű URL mögött rejtőzik, akárcsak a szabadalmi hivatal esetében, pontosan ilyen formában:
http://ubuntu.session.hu:11628/UgyfelBackend/getImageHB.php?id=424012
Ha átírjuk a kiemelt számsort, máris egy másik fotóhoz jutunk. A számok nem folyamatosan, egymás után következnek, hanem kisebb-nagyobb kihagyásokkal, de egy erre írt programmal könnyedén lekérdezhető az egész adatbázis: több kamera, sok időpontban készített képe. Sőt, közterület-felügyelők, parkolóőrök által feltöltött kézzel készített képeket is találtunk.
A hibát április másodikán, délelőtt jeleztük a józsefvárosi közterület-felügyelet központi emailcímén, és a rendszert vélhetően fejlesztő (hozzájuk tartozik a session.hu domén) Sessionbase Kft. megadott emailcímén. A hibát szinte percekkel jelzésünk után javították, legalábbis most már csak egy üzenetet kapunk, miszerint a kép megtekintésére nincs jogosultságunk. Egy órán belül már email is jött, amiben megköszönték a jelzést.