Ez vagyok én, és a horvát határ előtt ülve írok egy szkriptet a gov.tr-nek küldött POST-kérés paramétereinek felsorolásához.
Hogyan kezdődött minden
A feleségemmel járjuk a világot, és távolról dolgozunk. Nemrég költöztünk Törökországból Horvátországba (a legjobb hely Európa látogatására). Annak érdekében, hogy ne kerüljön karanténba Horvátországban, a beutazás előtt legkésőbb 48 órával negatív covid tesztről szóló igazolást kell készíteni.
Megtudtuk, hogy viszonylag jövedelmező (2500 rubel) és gyorsan (minden eredmény 5 órán belül jön) egy tesztet az isztambuli repülőtéren, ahonnan most repültünk ki.
7 órával indulás előtt megérkeztünk a reptérre, találtunk egy tesztpontot. Mindent kaotikusan csinálnak: feljössz, odaadod az útleveled, fizetsz, kapsz 2 vonalkódos matricát, bemész a mobil laborba, ahol elvesznek egy ilyen matricát, hogy azonosítsd az elemzésedet. Miután elment, és azt mondják: menjen erre az oldalra:
De ha közvetlenül az elemzés átadása után ad meg adatokat, az oldal hibát jelez.
Már akkor is a fejembe cikáztak a „szép” UX-ről a gondolatok, amiben az útlevéladatokat behajtó kezelő bármilyen hibája esetén nem lehet megtudni az eredményét.
Indulás előtt
Eljön az indulás időpontja, beírom az adataimat és látom, hogy a hozzájuk tartozó dokumentumok már megvannak, bár teszteredmény még nincs.
Még az is világos, hogy a vizsgálatok másfél órája érkeztek meg a laboratóriumba. De a feleségem adatbevitele továbbra is hibát ad, hogy a bejegyzés nem található. És ami a legfontosabb, nem fogsz tudni csak úgy elmenni és megkérdezni, hogy mi a baj, mert. Sikerült a vizsgán az útlevél-ellenőrzés előtti zónában.
Felszálláskor teszteredményeket kértek tőlünk, de szerencsére meg tudtuk győzni a reptér képviselőjét, hogy hamarosan megjelennek (mutatták a vonalkódokat), és végső esetben karanténba vonulunk.
Amint felszálltam a gépre, a kódom azt mutatta, hogy negatív a tesztem.
Érkezéskor
És itt kezdődik a móka! Amint berepültünk és csatlakoztunk a helyi WiFi-hez, kiderült, hogy a feleségem rekordja nem szerepel az adatbázisban. Magán a határon pedig nagyon körültekintően közelítették meg az iratokat: a határőr koronavírus-tesztet végzett, és egy külön helyiségbe vitte, hogy ellenőrizze a valóságtartalmát. Úgy döntöttünk, hogy elmondjuk bizalmi történetünket úgy, ahogy van, és megtudjuk, milyen lehetőségeink vannak.
Miközben sorban álltunk, úgy döntöttem, hogy megnézem a helyes (saját) és hibás adataimat, hogyan reagál az érvényesítő oldal.
Kiderült, hogy postakérést küld a címre
vonalkódNo=XX
kimlikNo=ÉÉ
kimlikTipi=2
ahol vonalkódSz - vonalkód szám, kimlikNo - útlevél, kimlik Tipi – 2-vel egyenlő fix paraméter (ha csak az első két mező van kitöltve). Semmilyen token nem volt látható. A kérés 1-et adott vissza a helyes paraméterekre (az én adataim), és 0-t a helytelenekre.
A postástól próbáltam 40 kombinációt válogatni (hirtelen egy karakteres hiba), de nem lett belőle semmi.
Abban a pillanatban felkerestük a határőrt, ő meghallgatta a történetünket és karantént javasolt. De egyértelműen nem akartunk 14 napig a lakásban ülni, ezért megkértük, hogy várjunk egy kicsit a tranzitzónában, hogy pár órán belül megpróbáljuk megoldani a problémát. A határőr belépett a helyünkre, elment megnézni, hogy beülhetünk-e a fehér zónába, és a vezető beleegyezésével azt mondta: "oké, csak pár óra."
Elkezdtem keresni a koronatesztet végzők telefonjait, és ezzel párhuzamosan elhatároztam, hogy tesztelek egy őrült hipotézist: ha ennek a rendszernek ilyen szörnyű UX-je van, akkor a biztonsági rendszer nem lehet jó, pedig a gov.tr tartomány.
Ennek eredményeként, miközben hívás közben ültem, írtam egy kis szkriptet, amely a kimlikNo mezőben az összes számot 0000-től 9999-ig rendezte. barkodNem volt matricánk, szóval nem lehetett baj.
Képzeld el a meglepetésemet, amikor még 500 folyamatos kérés után sem tiltottak ki, és a forgatókönyv másodpercenként 20 kéréssel futott a reptéri WiFi-ről.
A hívások nem jártak sok sikerrel: átirányítottak egyik osztályról a másikra. De nagyon hamar a forgatókönyv megadta a hőn áhított 6505 értéket, ami egyáltalán nem hasonlított az útlevél valódi 4 számjegyéhez.
A dokumentum feltöltése után kiderült, hogy egyértelműen nem a feleségem útlevele (az orosz külföldieknek nincs is ilyen számuk), de minden egyéb adat (beleértve a keresztnév, vezetéknév és születési dátum) helyes.
A legérdekesebb az, hogy a vonalkódok sem véletlenszerűek, hanem szinte egyenként mennek. Így elméletileg meg tudtam találni azokat a kapcsolatokat, akik megkapták a feleségem útlevélszámát, és általában simán kiszívhatnám mások személyes adatait.
De reggel 9 óra volt és egy éjszaka alvás nélkül, elkéstem egy online találkozóról, és örültem, hogy karantén nélkül beengedtek minket, így most indultam el Európa körül.
Forrás: will.com