D
Dimkis93
Гость столицы
ИГРОК
Регистрация:30.03.2026
Сообщения:26
Реакции:0
Баллы:25
Здравствуйте, уважаемые администраторы!
Обращаюсь к вам в связи с обнаруженной в системе серьёзной уязвимостью (багом), которая может нести риски для безопасности и корректности работы сервиса.
Суть проблемы следующая: во время моей работы в СТО «Белозерские» мне был предоставлен соответствующий уровень доступа — в том числе к информации о машинах и их номерах. После увольнения этот доступ не был аннулирован: у меня по‑прежнему сохраняется возможность снимать номера с машин, относящихся к данному СТО.
При этом есть основания полагать, что проблема не ограничивается одной фракцией. Поскольку механизм предоставления и отзыва прав, судя по всему, единый для всей системы, аналогичная уязвимость может присутствовать и в других фракциях. Это означает, что бывшие сотрудники иных объединений тоже могут сохранять недопустимый уровень доступа к функционалу, который полагается только действующим участникам.
Считаю, что подобная ситуация недопустима: права доступа должны автоматически или вручную корректироваться при изменении статуса участника. Сохранение у бывших членов фракций возможностей, которые полагаются только действующим сотрудникам, может привести к злоупотреблениям и некорректным действиям в системе.
Прошу вас как можно скорее разобраться с этой проблемой:
Буду признателен за обратную связь по данному вопросу и за информацию о том, какие меры приняты для устранения уязвимости.
С уважением,
[Дмитрий Бугатти, 937-941]

Как можете видеть, там также доступен Патриот из "Москва-LIVE".
Обращаюсь к вам в связи с обнаруженной в системе серьёзной уязвимостью (багом), которая может нести риски для безопасности и корректности работы сервиса.
Суть проблемы следующая: во время моей работы в СТО «Белозерские» мне был предоставлен соответствующий уровень доступа — в том числе к информации о машинах и их номерах. После увольнения этот доступ не был аннулирован: у меня по‑прежнему сохраняется возможность снимать номера с машин, относящихся к данному СТО.
При этом есть основания полагать, что проблема не ограничивается одной фракцией. Поскольку механизм предоставления и отзыва прав, судя по всему, единый для всей системы, аналогичная уязвимость может присутствовать и в других фракциях. Это означает, что бывшие сотрудники иных объединений тоже могут сохранять недопустимый уровень доступа к функционалу, который полагается только действующим участникам.
Считаю, что подобная ситуация недопустима: права доступа должны автоматически или вручную корректироваться при изменении статуса участника. Сохранение у бывших членов фракций возможностей, которые полагаются только действующим сотрудникам, может привести к злоупотреблениям и некорректным действиям в системе.
Прошу вас как можно скорее разобраться с этой проблемой:
- проверить механизм отзыва прав доступа при увольнении (выходе) из фракций;
- устранить баг, чтобы исключить подобные случаи в дальнейшем;
- провести аудит прав доступа бывших участников по всем фракциям, чтобы убедиться в отсутствии аналогичных уязвимостей;
- при необходимости — временно ограничить спорные функции до полного исправления ситуации.
Буду признателен за обратную связь по данному вопросу и за информацию о том, какие меры приняты для устранения уязвимости.
С уважением,
[Дмитрий Бугатти, 937-941]

Как можете видеть, там также доступен Патриот из "Москва-LIVE".
Последнее редактирование модератором: