Почта России — те же грабли

[dolboed]

В комментариях к предшествующей записи ещё один долдон спалился, за компанию с Мегафоном и пермским порталом.

Филиал ФГУП «Почта России» под названием EMS Russian Post (услуги экспресс-доставки) зачем-то отдаёт Яндексу страницы с трекингом посылок, причём делает это практически в реальном времени.

Про посылки эти, конечно, не слишком много можно узнать из трекингов на сайте EMS Russian Post.
Но в них попадаются имя отправителя, его индекс, населённый пункт и индекс получателя, вес и объявленная ценность посылки.

У всех служб экспресс-доставки в мире такая информация хранится в открытом доступе, не за логином, потому что она, по идее, интересна только отправителю и получателю, а третьим лицам как бы без надобности. Но при этом Вы ни у какого FedEx не можете спросить "а покажи-ка ты мне, милок, все бандероли, которые получали и отправляли жители моей деревни, откуда и куда". Там ответ на запрос выдаётся строго по идентификатору посылки, который известен отправителю, и может быть ещё переслан получателю. Постороннему этот идентификатор никак не вычислить. Он исполняет функцию своего рода пароля, только без логина.

А вот как раз в EMS Russian Post без логинов и паролей можно посмотреть — через поиск Яндекса — что и откуда получали жители посёлка Полярные Зори в Мурманской области. Или станицы Кущевская.

Может, это и безвредный функционал — но, на мой взгляд, совершенно излишний. А зачем информация об отправленных и полученных бандеролях на этом сервере хранится годами — вообще полная загадка.

Update: дальнейшие исследования показали, что в поисковиках свободно доступны данные трекинга отправлений DHL. Причём через всё тот же Яндекс. Зато про абсолютно весь мир. Идентифицирующей информации там совсем мало, но от EMS отличие невелико.

Comments

[angry44.livejournal.com]

не шутя вы дыр то нарыли..

ничё он не нарыл

[nafan.livejournal.com]

вся эта акция, кмк, хороший годный вброс против закона о персональных данных.
уж слишком постановочными были смски у Мегафона.

[eugen pozdnyakov (from livejournal.com)]

казалось бы, а при чем тут Яндекс?!

[deargen.livejournal.com]

Яндекс-зло!

[Данил Шведов (from livejournal.com)]

Настоящая загадка - зачем оставлять их индексируемыми. :)

[serge-yakovlev.livejournal.com]

На сайте одной строкой в файле robots.txt (http://www.emspost.ru/robots.txt) можно запретить индексацию. Ни Яндекс, ни Гугл не решат за админа, что можно индексировать, а что — нет.

[redme42.livejournal.com]

было бы интереснее, если показывалось что везут, а так не особо интересно

[dolboeb.livejournal.com]

Там, например, показывается, откуда везут, или куда.
А сервис - международный.

Так что для криминала было бы бесценное подспорье, если б только люди активнее этим сервисом пользовались.

[hjugo.livejournal.com]

ибо нефиг бездумно вешать счетчики, аналитику и прочие перделки на конечную выдачу...

[dolboeb.livejournal.com]

robots.txt обезвреживает любую аналитику, и любой сбор информации с Яндекс.Бара

Кстати, никто ж ничего нарочно не вешает, код вбивается в шаблон, который для всего сайта общий.

[tunner.livejournal.com]

Ну понеслось.

[gmsash.livejournal.com]

ерунда какая-то. кому какой толк от стандартный почтовых идентификаторов вида llddddddddll? да пусть хоть все их в открытый доступ выложат.

[avn475.livejournal.com]

На самом деле в прошлом посте достаточно четко все объяснили. Яндекс ничего индексировать не будет и никакой страницы с трекингом или с СМС не найдет, пока на эту страничку не залезет тупой юзер, установивший на свой комп яндекс-бар. Те у кого есть яндекс бар считай выкладывают в свободный доступ все что посещают. Сами себе злобные буратины.

[dolboeb.livejournal.com]

Если в той директории, которую посетил тупой юзер с Яндекс.Баром, стоит robots.txt, то никакой индексации не случится.

А еще лучше - если б интерфейс отправки SMS через веб вообще не хранил бы никаких данных об отправленных сообщениях.

[evgen2.livejournal.com]

Да почта России вообще полный пейсец.
То забудет прислать квиточек о приходе посылки, то вообще забудет сказать представителю организации, что на адрес этой организации пришла посылка, хотя это представитель постоянно получает там корреспонденцию, то пришлют извещение, на котором всего два слова "заказное" и "судебное", причем хранится это всего неделю, а потом отсылается взад, а работает почтовое отделение хер пойми как - у них там у кого декрет, у кого дети болеют...

Куда интересней можно!

[karlson2k.livejournal.com]

Хочешь узнать, что заказал себе твой сосед? :)
Вбиваешь его фамилию и....
Например, сосед - Антонов: http://yandex.ru/yandsearch?text=url%3Awww.emspost.ru%2Ftracking*+%D0%90%D0%BD%D1%82%D0%BE%D0%BD%D0%BE%D0%B2

Re: Куда интересней можно!

[igorsub.livejournal.com]

У Антонова была неудачная попытка вручения в Мытищах. :)

[freakpower.livejournal.com]

сорм глючит

Хе-хе

[moxel.livejournal.com]

И Москва тут же.
http://yandex.ru/yandsearch?text=url%3Awww.emspost.ru%2Ftracking*+%D0%BC%D0%BE%D1%81%D0%BA%D0%B2%D0%B0&lr=213

На самом деле данный баг очень напоминает историю с Неуловимым Джо - "а кому он нужен-то?"

[jmyshanya.livejournal.com]

Но при этом Вы ни у какого FedEx не можете спросить "а покажи-ка ты мне, милок, все бандероли, которые получали и отправляли жители моей деревни, откуда и куда".

а это что?

http://yandex.ru/yandsearch?text=track+shipment+site%3Adhl.com+LEIPZIG&lr=213

[jmyshanya.livejournal.com]

ps^ смотреть сохраненные копии

[marazm.livejournal.com]

Тоже мне уникальный функционал. Я сегодня гуглил почту гонгконга, гугл честно выдал первой ссылкой

http://app3.hongkongpost.com/CGI/mt/e_detail.jsp?mail_type=parcel_ouw&tracknbr=CP814139315HK&localno=CP814139315HK

[fau74.livejournal.com]

Причина, почему хранится годами, наверняка тривиальна: под вебморду отдельную базу никто не делал, она получает данные из единой базы предприятия. А там есть все со времен Очакова и покоренья Крыма - просто потому, что нормальное архивирование устаревающих данных сделать тоже никто особо не заморочился, а где-то все это хранить надо на всякий случай.

[sgr-m17.livejournal.com]

Да очевидно же всё с мегафоном. Учитывая какие там бредовые смски, то вывод о самопиаре сам напрашивается.

[zmey2.livejournal.com]

Клевый пиар. Так и вижу приплясывающих от радости пиар менеджеров Мегафона.

[heibert.livejournal.com]

что-то со ссылкой на мегафон кажется не то.

[nik-aleynikov.livejournal.com]

Вот уж действительно "найдётся всё")

[commentoz.livejournal.com]

Яндекс: а если найду?

[serge-yakovlev.livejournal.com]

> А зачем информация об отправленных и полученных бандеролях на этом сервере хранится годами — вообще полная загадка.

Ну не скажи! Я, вот, на днях обнаружил в почтовом ящике извещение (http://serge-yakovlev.livejournal.com/138025.html). На почте оказалось, что оно, по штемпелю, более годовой давности. Дома проверил — действительно, прошлогоднее. А так бы думал, что на штемпеле в дате ошиблись.

[pryanik.livejournal.com]

Яндекс такой Яндекс... Косячить - так по полной...

[roki-hateslj.livejournal.com]

да яндекс то причем? он что должен сам знать, что у кого не индексировать? для него что смски - что контент сайта.. :)

[binaryanimal.livejournal.com]

Странное дело, прошло уже 2 суток почти, и до сих пор никто не написал ни одного мало-мальски интересного эксплойта, чтоб хоть какая-то практическая польза была... видимо ее на самом деле просто нет.

[andrew (from livejournal.com)]

Эдак скоро выяснится, что в яндексе можно посмотреть, кто по каким порносайтам ходит.

[isereda.livejournal.com]

Сделал поиск по своей организации (мы за 1 месяц отправляем 100 посылок через ЕМС) - нашлось всего 10 шт.

Я думаю, что чаще всего индексируется именно посылки, ссылки на которые так или иначе попали в открытый доступ, хотя файл robots.txt все равно никто не отменял.

[jmyshanya.livejournal.com]

а в открытый доступ они попадают, когда отправитель проверяет состояние посылки на сайте почты.

защита персональных данных

[shurizm.livejournal.com]

а что скажут господа, что 152-ФЗ о защите персональных данных приняли? Тут уж смело можно в суд подавать на EMS.

[serge-yakovlev.livejournal.com]

По этой информации нельзя однозначно идентифицировать человека.

[eshorkin.livejournal.com]

А, теперь понятно, как волшебным образом посылки с айфонами вычисляют:))

[andrey-spirt.livejournal.com]

Блядь, ну отлично. Я теперь не могу по номеру трекинга пробить посылку, которую сегодня мне отправили из Питера. Не работает теперь трекинг.