dolboed | Почта России — те же грабли

В комментариях к предшествующей записи ещё один долдон спалился, за компанию с Мегафоном и пермским порталом.

Филиал ФГУП «Почта России» под названием EMS Russian Post (услуги экспресс-доставки) зачем-то отдаёт Яндексу страницы с трекингом посылок, причём делает это практически в реальном времени.

Про посылки эти, конечно, не слишком много можно узнать из трекингов на сайте EMS Russian Post.
Но в них попадаются имя отправителя, его индекс, населённый пункт и индекс получателя, вес и объявленная ценность посылки.

У всех служб экспресс-доставки в мире такая информация хранится в открытом доступе, не за логином, потому что она, по идее, интересна только отправителю и получателю, а третьим лицам как бы без надобности. Но при этом Вы ни у какого FedEx не можете спросить "а покажи-ка ты мне, милок, все бандероли, которые получали и отправляли жители моей деревни, откуда и куда". Там ответ на запрос выдаётся строго по идентификатору посылки, который известен отправителю, и может быть ещё переслан получателю. Постороннему этот идентификатор никак не вычислить. Он исполняет функцию своего рода пароля, только без логина.

А вот как раз в EMS Russian Post без логинов и паролей можно посмотреть — через поиск Яндекса — что и откуда получали жители посёлка Полярные Зори в Мурманской области. Или станицы Кущевская.

Может, это и безвредный функционал — но, на мой взгляд, совершенно излишний. А зачем информация об отправленных и полученных бандеролях на этом сервере хранится годами — вообще полная загадка.

Update: дальнейшие исследования показали, что в поисковиках свободно доступны данные трекинга отправлений DHL. Причём через всё тот же Яндекс. Зато про абсолютно весь мир. Идентифицирующей информации там совсем мало, но от EMS отличие невелико.

Current Location: Москва, Хамовники

Page 1 of 2 << [1] [2] >>

Threaded | Flat

From:

angry44.livejournal.com

не шутя вы дыр то нарыли..

From:

eugen pozdnyakov (from livejournal.com)

казалось бы, а при чем тут Яндекс?!

From:

Данил Шведов (from livejournal.com)

Настоящая загадка - зачем оставлять их индексируемыми. :)

From:

redme42.livejournal.com

было бы интереснее, если показывалось что везут, а так не особо интересно

From:

hjugo.livejournal.com

ибо нефиг бездумно вешать счетчики, аналитику и прочие перделки на конечную выдачу...

From:

tunner.livejournal.com

Ну понеслось.

From:

avn475.livejournal.com

На самом деле в прошлом посте достаточно четко все объяснили. Яндекс ничего индексировать не будет и никакой страницы с трекингом или с СМС не найдет, пока на эту страничку не залезет тупой юзер, установивший на свой комп яндекс-бар. Те у кого есть яндекс бар считай выкладывают в свободный доступ все что посещают. Сами себе злобные буратины.

From:

evgen2.livejournal.com

Да почта России вообще полный пейсец.
То забудет прислать квиточек о приходе посылки, то вообще забудет сказать представителю организации, что на адрес этой организации пришла посылка, хотя это представитель постоянно получает там корреспонденцию, то пришлют извещение, на котором всего два слова "заказное" и "судебное", причем хранится это всего неделю, а потом отсылается взад, а работает почтовое отделение хер пойми как - у них там у кого декрет, у кого дети болеют...

From:

karlson2k.livejournal.com

Хочешь узнать, что заказал себе твой сосед? :)
Вбиваешь его фамилию и....
Например, сосед - Антонов: http://yandex.ru/yandsearch?text=url%3Awww.emspost.ru%2Ftracking*+%D0%90%D0%BD%D1%82%D0%BE%D0%BD%D0%BE%D0%B2

From:

freakpower.livejournal.com

сорм глючит

From:

moxel.livejournal.com

И Москва тут же.
http://yandex.ru/yandsearch?text=url%3Awww.emspost.ru%2Ftracking*+%D0%BC%D0%BE%D1%81%D0%BA%D0%B2%D0%B0&lr=213

На самом деле данный баг очень напоминает историю с Неуловимым Джо - "а кому он нужен-то?"

From:

jmyshanya.livejournal.com

Но при этом Вы ни у какого FedEx не можете спросить "а покажи-ка ты мне, милок, все бандероли, которые получали и отправляли жители моей деревни, откуда и куда".

а это что?

http://yandex.ru/yandsearch?text=track+shipment+site%3Adhl.com+LEIPZIG&lr=213

From:

marazm.livejournal.com

Тоже мне уникальный функционал. Я сегодня гуглил почту гонгконга, гугл честно выдал первой ссылкой

http://app3.hongkongpost.com/CGI/mt/e_detail.jsp?mail_type=parcel_ouw&tracknbr=CP814139315HK&localno=CP814139315HK

From:

fau74.livejournal.com

Причина, почему хранится годами, наверняка тривиальна: под вебморду отдельную базу никто не делал, она получает данные из единой базы предприятия. А там есть все со времен Очакова и покоренья Крыма - просто потому, что нормальное архивирование устаревающих данных сделать тоже никто особо не заморочился, а где-то все это хранить надо на всякий случай.

From:

sgr-m17.livejournal.com

Да очевидно же всё с мегафоном. Учитывая какие там бредовые смски, то вывод о самопиаре сам напрашивается.

From:

heibert.livejournal.com

что-то со ссылкой на мегафон кажется не то.

From:

nik-aleynikov.livejournal.com

Вот уж действительно "найдётся всё")

From:

serge-yakovlev.livejournal.com

> А зачем информация об отправленных и полученных бандеролях на этом сервере хранится годами — вообще полная загадка.

Ну не скажи! Я, вот, на днях обнаружил в почтовом ящике извещение (http://serge-yakovlev.livejournal.com/138025.html). На почте оказалось, что оно, по штемпелю, более годовой давности. Дома проверил — действительно, прошлогоднее. А так бы думал, что на штемпеле в дате ошиблись.

From:

pryanik.livejournal.com

Яндекс такой Яндекс... Косячить - так по полной...

From:

binaryanimal.livejournal.com

Странное дело, прошло уже 2 суток почти, и до сих пор никто не написал ни одного мало-мальски интересного эксплойта, чтоб хоть какая-то практическая польза была... видимо ее на самом деле просто нет.

From:

andrew (from livejournal.com)

Эдак скоро выяснится, что в яндексе можно посмотреть, кто по каким порносайтам ходит.

From:

isereda.livejournal.com

Сделал поиск по своей организации (мы за 1 месяц отправляем 100 посылок через ЕМС) - нашлось всего 10 шт.

Я думаю, что чаще всего индексируется именно посылки, ссылки на которые так или иначе попали в открытый доступ, хотя файл robots.txt все равно никто не отменял.