Блогер ezhick опубликовал запись, в которой утверждает, что нашел серьезную уязвимость в приложении «Парковки Москвы». По словам блогера, что все платежные операции в приложении, по крайней мере, в его Android-версии, проходят через сервер с адресом gorms.mobi, который принадлежит физическому лицу, проживающему в США и являющемуся сотрудником американской компании Eyeline Communications.
Через этот сервер, как утверждает блогер, передается вся платежная информация, включая полные реквизиты кредитных карт. При этом данные, по его словам, в открытом виде в лог записываются. Это означает, что конфиденциальные данные пользователей «Парковок Москвы» в любой момент могут стать добычей киберпреступников, пишет ezhick.
По просьбе Computerworld старший специалист отдела безопасности сетевых приложений, Positive Technologies Александр Полунин прокомментировал эту запись: «Несмотря на то, что домен зарегистрирован на американского гражданина, серверы физически располагаются в России. Ситуация с участием Eyeline Communications Network в организации и, судя по всему, в разработке сервиса, обычному пользователю не грозит ничем опасным. Однако, чтобы судить о потенциальных угрозах, необходимо детально исследовать работу сервиса. Судя по опубликованным логам, данные передаются по зашифрованному каналу HTTPS. Подобный же механизм используется, например, когда вы оплачиваете билет на поезд или какую-нибудь интернет-покупку. Поэтому ключевой вопрос заключается в доверии к Eyeline Communications Network: сохраняют ли они персональные данные и не предоставляют третьим лицам?».
