Dit is my, it skriuwen fan in skript foar in enumerate parameters foar in POST fersyk oan gov.tr, sittend foar de grins nei Kroaasje.
Hoe it alles begon
Myn frou en ik reizgje de wrâld en wurkje op ôfstân. Wy binne koartlyn ferhuze fan Turkije nei Kroaasje (it bêste punt om Europa te besykjen). Om net yn quarantaine yn Kroaasje te gean, moatte jo in sertifikaat fan in negative covid-test hawwe makke net letter dan 48 oeren foar yngong.
Wy fûnen út dat it relatyf rendabel is (2500 roebel) en fluch (alle resultaten komme binnen 5 oeren) om in test te nimmen op it fleanfjild fan Istanbûl, wêrfan wy krekt fleagen.
Wy kamen op it fleanfjild 7 oeren foar fertrek, fûn in testpunt. Se dogge alles chaotysk: jo komme op, jouwe jo paspoart, betelje, krije 2 stickers mei in barcode, gean nei it mobile laboratoarium, wêr't se ien fan dizze stickers fan jo nimme om jo analyse te identifisearjen. Neidat jo fuortgean, en se fertelle jo: gean nei dizze side: , ryd jo barcode en de lêste 4 sifers fan jo paspoart yn, nei in skoft sil der in resultaat wêze.
Mar as jo gegevens direkt nei it trochjaan fan 'e analyze ynfiere, jout de side in flater.
Sels dan krûpen tinzen oer de "moaie" UX yn myn holle, wêryn, mei elke flater fan 'e operator dy't yn' e paspoartgegevens ried, d'r gjin manier is om jo resultaat te finen.
Foar fertrek
De fertrektiid komt, ik jou myn gegevens yn en sjoch dat de dokuminten foar harren der al binne, hoewol der noch gjin testresultaat is.
It is sels dúdlik dat de testen 1.5 oere lyn yn it laboratoarium kamen. Mar de gegevensynfier fan myn frou jout noch in flater dat de yngong net fûn is. En it wichtichste, jo sille net kinne gewoan gean en freegje wat der mis is, om't. Wy passe de test yn 'e sône foar paspoartkontrôle.
By it oan board fan 'e flecht waarden wy frege om testresultaten, mar gelokkich koene wy de fleanfjildfertsjintwurdiger oertsjûgje dat se gau sille ferskine (toande har de barcodes), en as lêste ynstânsje soene wy yn karantine gean.
Sadree't ik op it fleantúch kaam, liet myn koade sjen dat ik in negative test hie.
By oankomst
En dit is wêr't de wille begjint! Sadree't wy fleagen yn en ferbûn mei de lokale WiFi, die bliken dat myn frou syn rekord wie net yn de databank. En by de grins sels waarden de dokuminten tige foarsichtich benadere: de grinswacht naam in test foar coronavirus en naam it nei in aparte keamer om de realiteit te kontrolearjen. Wy besletten dat wy ús fertrouwenferhaal sille fertelle lykas it is en útfine hokker opsjes wy hawwe.
Wylst wy yn 'e rige stiene, besleat ik om te kontrolearjen op korrekte (myn) en ferkearde gegevens, hoe't de falidaasjeside reagearret.
It die bliken dat se stjoert in post fersyk nei , mei de folgjende parameters:
barcodeNo=XX
kimlikNo=YY
kimlikTipi=2
wêr barcode No - barcode nûmer, kimlikNo - paspoart ID, kimlik Tipi - fêste parameter gelyk oan 2 (as allinich de earste twa fjilden binne ynfolle). Gjin tokens wiene sichtber. It fersyk joech 1 werom foar de juste parameters (myn gegevens), en 0 foar de ferkearde.
Fan de postboade besocht ik 40 kombinaasjes te sortearjen (ynienen in flater fan ien karakter), mar der kaam neat fan.
Op dat stuit kamen wy de grinswacht oan, hy harke nei ús ferhaal en stelde karantine foar. Mar wy woenen dúdlik net 14 dagen yn it appartemint sitte, dus wy fregen om in bytsje te wachtsjen yn 'e transitsône om te besykjen om it probleem yn in pear oeren op te lossen. De grinswacht kaam ús posysje yn, gong om te sjen oft wy yn 'e wite sône koene sitte, en sei mei de ynstimming fan 'e holle: "Okee, mar in pear oeren."
Ik begon te sykjen nei de tillefoans fan dyjingen dy't de kroantest diene, en parallel besleat om in gekke hypoteze te testen: as dit systeem sa'n skriklike UX hat, dan soe it befeiligingssysteem net goed wêze moatte, hoewol de gov.tr domein.
As gefolch, wylst ik siet op petearen, skreau ik in lyts skript dat alle nûmers fan 0000 oant 9999 yn it kimlikNo-fjild sorteare. barkodNo hienen wy op in sticker, dus it koe net ferkeard wêze.
Stel jo myn ferrassing foar doe't ik sels nei 500 trochgeande oanfragen net ferbean waard en it skript trochgie mei 20 oanfragen per sekonde fan it fleanfjild WiFi.
Oproppen joegen net folle súkses: ik waard trochferwiisd fan de iene ôfdieling nei de oare. Mar hiel gau it skript joech de begeerde wearde 6505, dat wie hielendal net as de echte 4 sifers fan it paspoart.
Nei it uploaden fan it dokumint die bliken dat it dúdlik net it paspoart fan myn frou wie (Russyske bûtenlanners hawwe net iens sokke nûmers), mar alle oare gegevens (ynklusyf foarnamme, efternamme en bertedatum) binne korrekt.
It meast nijsgjirrige is dat de barcodes ek net willekeurich binne, mar sawat ien foar ien gean. Sa koe ik yn teory kontakten fine dy't it paspoartnûmer fan myn frou krigen, en yn 't algemien de priveegegevens fan oare minsken soepel útpompe.
Mar it wie 9 oere en in nacht sûnder sliep, ik wie te let foar in online gearkomste en wie bliid dat se ús sûnder quarantaine trochlitte, dus ik begon gewoan myn reis troch Europa.
Boarne: www.habr.com