Questo sono io, che scrivo uno script per enumerare i parametri per una richiesta POST a gov.tr, seduto davanti al confine con la Croazia.
Come tutto ebbe inizio
Io e mia moglie viaggiamo per il mondo e lavoriamo da remoto. Di recente ci siamo trasferiti dalla Turchia alla Croazia (il punto migliore per visitare l'Europa). Per non entrare in quarantena in Croazia, è necessario disporre di un certificato di test covid negativo effettuato entro e non oltre 48 ore prima dell'ingresso.
Abbiamo scoperto che è relativamente redditizio (2500 rubli) e rapido (tutti i risultati arrivano entro 5 ore) fare un test all'aeroporto di Istanbul, da cui siamo appena partiti.
Siamo arrivati all'aeroporto 7 ore prima della partenza, abbiamo trovato un punto di prova. Fanno tutto in modo caotico: sali, dai il passaporto, paghi, prendi 2 adesivi con un codice a barre, vai al laboratorio mobile, dove ti prendono uno di questi adesivi per identificare la tua analisi. Dopo te ne vai e ti dicono: vai su questo sito: , inserisci il tuo codice a barre e le ultime 4 cifre del tuo passaporto, dopo un po 'ci sarà un risultato.
Ma se inserisci i dati subito dopo aver superato l'analisi, la pagina restituisce un errore.
Anche allora, i pensieri sulla "bella" UX si sono insinuati nella mia testa, in cui, con qualsiasi errore dell'operatore che ha inserito i dati del passaporto, non c'è modo di scoprire il tuo risultato.
Prima della partenza
Arriva l'orario di partenza, inserisco i miei dati e vedo che i documenti per loro sono già lì, anche se non c'è ancora l'esito del test.
Puoi anche vedere che i test sono arrivati al laboratorio 1.5 ore fa. Ma l'inserimento dei dati di mia moglie dà ancora un errore che la voce non è stata trovata. E, cosa più importante, non sarai in grado di andare semplicemente a chiedere cosa c'è che non va, perché. Abbiamo superato il test nell'area prima del controllo passaporti.
Al momento dell'imbarco sul volo, ci sono stati chiesti i risultati dei test, ma, fortunatamente, siamo riusciti a convincere il rappresentante dell'aeroporto che presto sarebbero comparsi (mostrando loro i codici a barre) e, come ultima risorsa, saremmo andati in quarantena.
Non appena sono salito sull'aereo, il mio codice ha mostrato che avevo un test negativo.
All'arrivo
Ed è qui che inizia il divertimento! Non appena siamo arrivati e ci siamo collegati al WiFi locale, si è scoperto che il record di mia moglie non era nel database. E alla frontiera stessa, i documenti sono stati avvicinati con molta attenzione: la guardia di frontiera ha fatto un test per il coronavirus e lo ha portato in una stanza separata per verificarne la realtà. Abbiamo deciso di raccontare la nostra storia di fiducia così com'è e scoprire quali opzioni abbiamo.
Mentre eravamo in fila, ho deciso di controllare i dati corretti (i miei) e quelli errati, come reagisce la pagina di convalida.
Si è scoperto che invia una richiesta di posta a , con i seguenti parametri:
codice a barreNo=XX
kimlikNo=AA
kimlikTipi=2
dove codice a barreNo – numero del codice a barre, Kimlik No - ID passaporto, Kimlik Tipi – parametro fisso pari a 2 (se sono compilati solo i primi due campi). Nessun gettone era visibile. La richiesta ha restituito 1 per i parametri corretti (i miei dati) e 0 per quelli errati.
Dal postino, ho provato a selezionare 40 combinazioni (improvvisamente un errore di un carattere), ma non ne è venuto fuori nulla.
In quel momento ci siamo avvicinati alla guardia di frontiera, ha ascoltato la nostra storia e ha suggerito la quarantena. Ma chiaramente non volevamo sederci nell'appartamento per 14 giorni, quindi abbiamo chiesto di aspettare un po' nella zona di transito per cercare di risolvere il problema in un paio d'ore. La guardia di frontiera è entrata nella nostra posizione, è andata a vedere se potevamo sederci nella zona bianca e, con il consenso del capo, ha detto: "va bene, solo un paio d'ore".
Ho iniziato a cercare i telefoni di chi ha fatto il crown test, e parallelamente ho deciso di testare un'ipotesi folle: se questo sistema ha una UX così terribile, allora il sistema di sicurezza non dovrebbe essere buono, anche se il gov.tr dominio.
Di conseguenza, durante le chiamate, ho scritto un piccolo script che ordinava tutti i numeri da 0000 a 9999 nel campo kimlikNo. barkodNo, avevamo un adesivo, quindi non poteva essere sbagliato.
Immagina la mia sorpresa quando anche dopo 500 richieste continue non sono stato bannato e lo script ha continuato a funzionare a 20 richieste al secondo dal WiFi dell'aeroporto.
Le chiamate non hanno avuto molto successo: sono stato reindirizzato da un dipartimento all'altro. Ma ben presto la sceneggiatura ha dato l'ambito valore 6505, che non assomigliava affatto alle 4 cifre reali del passaporto.
Dopo aver caricato il documento, si è scoperto che chiaramente non era il passaporto di mia moglie (gli stranieri russi non hanno nemmeno tali numeri), ma tutti gli altri dati (inclusi nome, cognome e data di nascita) sono corretti.
La cosa più interessante è che anche i codici a barre non sono casuali, ma vanno quasi uno per uno. Quindi, in teoria, potrei trovare contatti che hanno ottenuto il numero di passaporto di mia moglie e, in generale, pompare senza problemi i dati privati di altre persone.
Ma erano le 9 del mattino e una notte senza dormire, ero in ritardo per un incontro online ed ero contento che ci lasciassero passare senza quarantena, quindi ho appena iniziato il mio viaggio in giro per l'Europa.
Fonte: habr.com