На момент моего визита поголовье насчитывало почти 2000 особей и стремительно продолжало расти, каждые две минуты появлялся очередной человек пренебрегающий цифровой гигиеной, безопасностью персональных данных, просто здравым смыслом и выкладывал на всеобщее обозрение ключ к своему местоположению.
Это блин круче, чем пробить адрес по IP. Раньше приходилось смотреть с какого провайдера пришёл человек, рыться в логах модемных пулов, сопостовлять телефонный номер с адресной книгой. А сейчас люди добровольно внесли свои данные в цифровую БД и дают ключ от неё на всеобщее обозрение из‑под своих имени и фамилии. Не очень понятно зачем у них тогда «закрытые профили» в данной соц.сети.

Я, конечно же, не бездействовал. Я сразу капу нажал. Сообщил данному сообществу «Газпром межрегионгаз Санкт‑Петербург» о том, что у них кое‑что в безопасности.

А теперь посмотрим — как всё это работает.

Сначала нам понадобится войти в свой личный кабинет, если вы нигерийский мошенник — ничего страшного, на смородина.онлайн для создания личного кабинета нужен только ящик электронной почты, без всяких автори заций черех Макс, Госуслуги или OnlyFans. Вводите код полученный на почтовый адрес в Зимбабве и через пару секунд вы уже в личном кабинете. Там висит увлекательная табличка — у вас нет подключенных счетов.
Но... у нас же есть стадо северных оленей с номерами. Конечно есть заминка — кроме номера счёта нужно указать ещё и поставщика услуг. Там достаточно обширный список, от Анадыря до Якутска, но путём длительного перебора вариантов нам удаётся узнать, что в группе Газпром межрегионгаз Санкт-Петербург внезапно люди публикуют номера личных счетов поставщика услуг... ни за что не догадаетесь: Межрегионгаз Санкт-Петербург
Та-даааа-м! В совершенно пустом кабинете, зарегистрированным на левый емейл, мы видим заветную табличку - Лицевой счёт №********** успешно подключён.

Компания Газпром таким образом, без верификации, без проверки личности, без снятия ректальных слепков — даёт нам доступ к полному домашнему адресу пользователя ВКонтакте который повёлся на их «розыгрыш», всякие мелочи типа марки его прибора учёта (взлом по токовой петле всё ещё актуален?), ну и конечно же... Конечно же... КОНЕЧНО ЖЕ... ...твою лучшую подругу! © сами знаете кто.

Конечно же банковские данные о транзакциях, типе карты, электронном ящике пользователя.

Я бы понял, если бы это был розыгрыш от студии по педикюру в подвале хрущёвки на окраине Саратова. Приложите номер карты клиента и мы сделаем вам массаж пятки бесплатно при следующем визите.

Я понимаю, розыгрыши от госкорпораций, которые нанимают аутсорсеров для проведения пиаракций в странах третьего мира с ценными призами среди аборигенов (показать вам мою коллекцию ништяков? В комментах позже выложу.)

Но тут? Государственная компания, казалось бы у них есть своя СБ которая должна проверять деятельность пиарщиков, качество защиты данных в цифровых сервисах.
Или у них такого нету и всё торчит наружу?
А, да... действительно.
Торчит.

Upd: Что ж, кто-то из Газпрома читает Хабр. 5 минут назад (на вторые сутки после публикации) пришло письмо с напоминанием о конкурсе, но с новыми правилами участия. Теперь надо просто написать слово "МИЛЛИОН" в обращениях к поставщику. Комментарии к многострадальной записи они закрыли и стерли.