Уязвимость в СДЭК зарепортила, жду реакции.
Когда исправят, поделюсь с вами.
Если кратко и без лишних подробностей, с помощью неё можно слить полные данные (включая ФИО, адрес до квартиры, телефон) и историю всех клиентов и отправлений сервиса. Сами понимаете, сколько страшных применений можно придумать такой информации.
Также можно нарушать работу сервиса, перенаправляя любые отправления на любые желаемые злоумышленником адреса. В лучшем случае, они не дойдут до получателей вовремя. В худшем случае, будут получены злоумышленником.
Напрямую денег не просила, припишут ещё вымогательство, Россия же, но намекнула, что если вдруг захотят отблагодарить, буду рада предоставить реквизиты. Захотят?