コロナウイルス検査の不適切な設計の UX により、私たちは自主隔離に追い込まれそうになりましたが、セキュリティ ホールによって救われました

これは、クロアチアとの国境の前に座って、gov.tr の POST リクエストのパラメーターを列挙するスクリプトを書いている私です。

それはすべてどのように始まったのか

妻と私は世界中を旅し、リモートで仕事をしています。 私たちは最近トルコからクロアチア（ヨーロッパを訪れるのに最適な場所）に引っ越しました。 クロアチアで隔離されないようにするには、入国の48時間前までに新型コロナウイルス検査で陰性である証明書を取得する必要があります。

私たちが出発したばかりのイスタンブール空港で検査を行うと、比較的収益性が高く（2500 ルーブル）、迅速（全員が 5 時間以内に結果を受け取る）であることがわかりました。

出発の7時間前に空港に到着し、検査会場を見つけました。 彼らはすべてを無秩序に行います。あなたが立ち上がって、パスポートを渡し、支払いをし、バーコードの付いたステッカーを2枚受け取り、移動実験室に行き、そこで分析結果を識別するためにこれらのステッカーのXNUMXつをあなたから受け取ります。 それから外に出ると、「このサイトにアクセスしてください」と言われます。 enabiz.gov.tr/PcrTestSonuc、バーコードとパスポートの下 4 桁を入力すると、しばらくして結果が表示されます。

ただし、分析完了直後にデータを入力すると、ページにエラーが表示されます。

それでも、パスポートのデータを入力したオペレーターが何らかの間違いを犯した場合、結果を知る方法がない「素晴らしい」UX についての考えが私の頭の中に忍び込みました。

出発する前に

出発時間が来て、データを入力すると、テスト結果はまだ出ていませんが、書類がすでにそこにあることがわかりました。

検査薬が1.5時間前に研究所に到着したことさえ明らかだ。 しかし、妻のデータを入力すると、レコードが見つからないというエラーが表示されます。 そして最も重要なことは、ただ行って何が問題なのかを尋ねることができないということです。 私たちは出国審査前のエリアでテストを受けました。

飛行機に搭乗する際、検査結果の提示を求められましたが、幸いにも空港の担当者にすぐに結果が出ると説得することができ（バーコードを見せました）、最後の手段として検疫に入ることができました。

飛行機に乗るとすぐに、私のコードには検査結果が陰性だったという情報が表示されました。

到着時に

ここからが楽しい始まりです。 到着してローカル WiFi に接続するとすぐに、妻のエントリがまだデータベースにないことがわかりました。 そして国境自体でも、書類に非常に慎重に取り組みました。国境警備隊はコロナウイルス検査を受け、その有効性を確認するために別室に検査を運びました。 私たちは、信頼のストーリーをありのままに伝え、どのような選択肢があるかを探ることにしました。

列に並んでいる間、正しい (私自身の) データと間違ったデータを使用して検証ページがどのように反応するかをテストすることにしました。

彼女が投稿リクエストを送信していたことが判明しました。 www.enabiz.gov.tr/PcrTestSonuc/GetPcrRaporVerifyWithKimlik、次のパラメータを使用します。

バーコッドNo=XX
キムリクNo=YY
キムリクティピ=2
どこ バーコッドNo – バーコード番号、 キムリクいいえ - パスポートID、 キムリクティピ – 2 に等しい固定パラメータ (最初の 1 つのフィールドのみを入力した場合)。 トークンは表示されませんでした。 リクエストは、正しいパラメーター (私のデータ) の場合は 0 を返し、間違ったパラメーターの場合は XNUMX を返しました。

Postman から 40 個の組み合わせを分類しようとしました (突然 XNUMX 文字のエラーが発生しました) が、結果は何も得られませんでした。

その瞬間、私たちは国境警備隊に近づき、彼は私たちの話を聞いて隔離を提案しました。 しかし、私たちはアパートに 14 日間座り続けるのは明らかに嫌だったので、数時間以内に問題を解決するためにトランジットゾーンで少し待ってもらうように頼みました。 国境警備隊は私たちの状況を理解し、ホワイトゾーンに座ることができるかどうかを調べに行き、リーダーの同意を得て、「分かった、XNUMX、XNUMX時間だけ」と言いました。

私はコロナ検査を行った人の電話番号を探し始めましたが、同時にクレイジーな仮説を検証することにしました。このシステムのUXがこれほどひどいのであれば、ドメインは政府であってもセキュリティシステムは良くないはずです。 .tr.

その結果、通話中に、kimlikNo フィールド内の 0000 から 9999 までのすべての数字を反復処理する小さなスクリプトを作成しました。 ステッカーに barkodNo と書いてあったので、間違っているわけがありません。

500 回の連続リクエストの後でも禁止されず、スクリプトが空港の Wi-Fi から 20 秒あたり XNUMX リクエストの速度で実行され続けたときの驚きを想像してみてください。

電話はあまり成功せず、ある部門から別の部門に転送されました。 しかし、すぐにスクリプトは、パスポートの実際の 6505 桁とはまったく似ていない、誰もが欲しがる値 4 を生成しました。

書類をダウンロードした後、それは明らかに妻のパスポートではないことが判明しましたが（ロシアの外国人にはそのような番号さえありません）、他のすべてのデータ（名前、姓、生年月日を含む）は正しかったです。

最も興味深いのは、バーコードもランダムではなく、ほぼ次々に現れることです。 したがって、理論的には、妻のパスポート番号を入手した連絡先を見つけることができ、一般に、他人の個人データをスムーズに引き出すことができました。

しかし、朝9時で眠れない夜が続き、オンライン会議に遅刻し、検疫なしで入国が許可されたことをうれしく思い、ヨーロッパの旅を始めたところです。

出所： habr.com