Kā slikti izstrādāts UX koronavīrusa pārbaudē mūs gandrīz noveda pašizolācijā, taču drošības caurums mūs izglāba

Tas esmu es, rakstot skriptu, lai uzskaitītu parametrus POST pieprasījumam gov.tr, sēžot pie robežas ar Horvātiju.

Kā tas viss sākās

Mēs ar sievu ceļojam pa pasauli un strādājam attālināti. Mēs nesen pārcēlāmies no Turcijas uz Horvātiju (labākais punkts, kur apmeklēt Eiropu). Lai Horvātijā nenonāktu karantīnā, ne vēlāk kā 48 stundas pirms ieceļošanas ir jāsaņem sertifikāts par negatīvu Covid testa rezultātu.

Noskaidrojām, ka ir salīdzinoši izdevīgi (2500 rubļi) un ātri (visi rezultāti nāk 5 stundu laikā) veikt testu Stambulas lidostā, no kuras tikko izlidojām.

Lidostā ieradāmies 7 stundas pirms izlidošanas, atradām pārbaudes punktu. Viņi visu dara haotiski: jūs nākat klajā, iedodat pasi, samaksājat, jūs saņemat 2 uzlīmes ar svītrkodu, jūs dodaties uz mobilo laboratoriju, kur viņi no jums paņem vienu no šīm uzlīmēm, lai identificētu jūsu analīzi. Pēc aiziešanas viņi jums saka: dodieties uz šo vietni: enabiz.gov.tr/PcrTestSonuc, iebrauciet savu svītrkodu un pases pēdējos 4 ciparus, pēc kāda laika būs rezultāts.

Bet, ja ievadāt datus tūlīt pēc analīzes nokārtošanas, lapa parāda kļūdu.

Jau toreiz galvā iezagās domas par “skaisto” UX, kurā ar jebkuru pases datos iebraucušās operatores kļūdu nav iespējas uzzināt tavu rezultātu.

Pirms izbraukšanas

Pienāk izbraukšanas laiks, ievadu savus datus un redzu, ka dokumenti viņiem jau ir, lai gan pārbaudes rezultāta vēl nav.

Ir pat skaidrs, ka testi nonāca laboratorijā pirms 1.5 stundas. Bet manas sievas datu ievade joprojām dod kļūdu, ka ieraksts netika atrasts. Un pats galvenais, jūs nevarēsit vienkārši iet un jautāt, kas ir nepareizi, jo. Pārbaudi nokārtojām zonā pirms pasu kontroles.

Iekāpjot lidojumā, mums prasīja testu rezultātus, bet, par laimi, mēs spējām pārliecināt lidostas pārstāvi, ka viņi drīz parādīsies (parādīja svītrkodus), un kā galējo līdzekli iesim karantīnā.

Tiklīdz es iekāpu lidmašīnā, mans kods parādīja, ka man ir negatīvs tests.

Ierašanās laikā

Un šeit sākas jautrība! Tiklīdz ielidojām un pieslēdzāmies vietējam WiFi, izrādījās, ka manas sievas ieraksta datu bāzē nav. Un uz pašas robežas pie dokumentiem piegāja ļoti uzmanīgi: robežsargs veica koronavīrusa testu un nogādāja to atsevišķā telpā, lai pārbaudītu tā patiesumu. Nolēmām, ka pastāstīsim savu uzticības stāstu tādu, kāds tas ir, un uzzināsim, kādas iespējas mums ir.

Kamēr stāvējām rindā, nolēmu pārbaudīt vai nav pareizi (mani) un nepareizi dati, kā reaģē validācijas lapa.

Izrādījās, ka viņa sūta pasta pieprasījumu uz www.enabiz.gov.tr/PcrTestSonuc/GetPcrRaporVerifyWithKimlik, ar šādiem parametriem:

svītrkoda Nr.=XX
kimlikNo=YY
kimlikTipi=2
kur svītrkoda Nr - svītrkoda numurs, kimlikNē - Pases identifikācijas numurs, kimlik Tipi – fiksēts parametrs, kas vienāds ar 2 (ja ir aizpildīti tikai pirmie divi lauki). Nekādi žetoni nebija redzami. Pieprasījums atgrieza 1 par pareiziem parametriem (mani dati) un 0 par nepareizajiem parametriem.

No pastnieka mēģināju šķirot 40 kombinācijas (pēkšņi viena rakstzīmes kļūda), bet nekas nesanāca.

Tajā brīdī mēs vērsāmies pie robežsarga, viņš uzklausīja mūsu stāstu un ieteica karantīnu. Bet mēs skaidri negribējām sēdēt dzīvoklī 14 dienas, tāpēc lūdzām nedaudz pagaidīt tranzīta zonā, lai pāris stundu laikā mēģinātu atrisināt problēmu. Robežsargs iegāja mūsu vietā, aizgāja paskatīties, vai nevaram sēdēt baltajā zonā, un ar priekšnieka piekrišanu teica: "labi, tikai pāris stundas."

Sāku meklēt to telefonus, kuri veica kroņa testu, un paralēli nolēmu pārbaudīt traku hipotēzi: ja šai sistēmai ir tik šausmīgs UX, tad drošības sistēmai nevajadzētu būt labai, lai gan gov.tr ​​​​domēns.

Tā rezultātā, sēžot pie zvaniem, es uzrakstīju nelielu skriptu, kas laukā kimlikNo sakārtoja visus skaitļus no 0000 līdz 9999. barkodNē, mums bija uzlīme, tāpēc tā nevarēja būt nepareiza.

Iedomājieties manu pārsteigumu, kad pat pēc 500 nepārtrauktiem pieprasījumiem es netiku aizliegts un skripts turpināja darboties ar 20 pieprasījumiem sekundē no lidostas WiFi.

Zvani nedeva lielus panākumus: mani pāradresēja no vienas nodaļas uz citu. Taču pavisam drīz skripts deva kāroto vērtību 6505, kas nepavisam neatbilda pases īstajiem 4 cipariem.

Pēc dokumenta augšupielādes izrādījās, ka tā acīmredzami nebija manas sievas pase (krievu ārzemniekiem pat nav šādu numuru), bet visi pārējie dati (tostarp vārds, uzvārds un dzimšanas datums) ir pareizi.

Interesantākais ir tas, ka arī svītrkodi nav nejauši, bet iet gandrīz pa vienam. Līdz ar to teorētiski varētu atrast kontaktus, kas dabūja manas sievas pases numuru, un vispār raiti izpumpēt citu cilvēku privātos datus.

Bet bija 9:XNUMX un nakts bez miega, es kavēju tiešsaistes tikšanos un priecājos, ka viņi mūs ielaida bez karantīnas, tāpēc es tikko sāku savu ceļojumu pa Eiropu.

Avots: www.habr.com