Originally posted by teh_nomad at Критическая уязвимость на сайте налоговой
Есть там такой сервис, в котором по своему ИНН можно узнать долги по недвижимости, транспортному налогу и т.д.
https://service.nalog.ru/debt/index.do
Удобная штука и на первый взгляд приватная. Только вот паралелльно там работает сервис для напоминания ИНН с огромной дырой.
http://service.nalog.ru:8080/innmy.d
Казалось бы, штука надежно защищена. Чтобы узнать свой ИНН надо знать паспортные данные.
Но видимо или кодеры поленились, или бабки слишком распилили, но проверки валидности паспортных данных там нет. Можно вводить что угодно, главное, чтобы формат совпадал. То есть любой злоумышленник может ввести ваше ФИО и дату рождения и получить ИНН. А по ИНН распечатать все долги.
Таким нехитрым способом, например, можно узнать ИНН Путина и все его задолженности.
Мелочь конечно, но для гос. учреждения такого уровня позорная.
прислал инфу ![[info]](http://l-stat.livejournal.com/img/userinfo.gif?v=1){kind=small}
spokuhin
PS Иш, чего люди нарыли: Ходорковский… 770200035117, Налог (53024263.00), Пеня (97796100.12)