Только что со мной на связь вышел один из тех, у кого паспорт был выдан в 2021 году, а в Дии зарегистрировался в декабре 2020.

Он прислал мне скриншоты выполнения скрипта на сайте Дии.

И id... совпадает с тем что в БД.

Человек пользовался до этого и веб версией и приложением.

Тут не хватает картинок, иначе прикрепил бы Тони.
memepedia.ru/...​2017/04/52e53163b6484.jpg

Это не безопасно и не вызовет доверия. А когда ты своими руками взял ID на сайте Дии, пошел на другой сайт, и он тебе по нему вернул твои данные — это самое достоверное доказательство того, что фраза «інформація щодо злому порталу „Дія“ не відповідає дійсності» — не відповідає дійсності!

Я не поленился, взял по запросу...

SELECT *
FROM users
WHERE id_card_issue_date >= ’2020-01-01’::date
ORDER BY birthday DESC NULLS LAST;

...рандомно нескольких людей, которые были в телеграме по указанному номеру, и у кого была ава реальная.

Написал им, и те, кто ответил в принципе — подтвердили, что паспортные данные их, и что Дией пользовались.

Это может сделать любой.
Какие-то сомнения в том, что взлом реален, после такого, еще есть у кого-то?
Особенно с учетом наличия в колонке userId id-шника который выдает в токене веб сайт Дии.....

Це просто капець.

В бд users даже для ФОП есть инфа по паспортным данным. Это не публичная инфа.

Там в слитой таблице есть поле userId, которое можно посмотреть также на сайте дии в полученном при аутентификации токене. И для свежих строк с датой регистрации на сайте дии ноябрь 2020 — это поле на сайте и в слитой бд идентично.

В продолжение предыдущего поста. Если посмотреть на сгенерированные шаблоны Twig и на реальный код текущего сайта, то все специфичные отступы совпадают 1 в 1.
prnt.sc/26ig6xm

При чем тут очень тонкий момент, в исходниках на Twig (themes/diia/partials/form/faqForm.htm) на строке 34 сходу и не скажешь, что в итоге получится такое количество отступов. Это можно увидеть только по сгенерированному файлу (storage/cms/twig/28/282899cd0dca9f3dab206c56f4fd4b9133cb319e1b52a3dff06573e452344e98.php, 74 строка)

Как это объяснить, если это не исходники сайта?

Может старая версия? А в новой (которая как они писали — не на PHP) что, продолжили юзать Twig? Странно, как-то. Хотя, конечно, возможно.

Ору.

Если это не исходники портала, тогда как объяснить это?

prnt.sc/26ifqyv
prnt.sc/26ifrnr

diia.gov.ua/...​s/bg-test-diia-upload.zip

Пока файл не удалили, подтвердите кто-то еще, что скачали.

А вам не спало на думку, що при повнотекстовому пошуку можна вводити тільки частину email? Можна ввести будь-які 5 символів, і вже буде зрозуміло чи існує в БД такий email чи ні.

Я вам можу дати код проекту, якщо завгодно.
Збирати емейли навіщо, якщо не секрет?

Ви це про мене?) Я тут зареєструвався, бо зачепило. Потім, навіщо мені аномізовано збирати емейли? Дізнатися який користувач клікнув за посиланням не можна, айпі через cloudflare я не бачу. І навіщо, питається, мені логувати все те, що вводять користувачі, щоб потім сидіти і руками перевіряти що робоче, а що ні?)

Я зробив сервіс, щоб у людей, які не мають навичок роботи з БД, була можливість швидко перевірити, чи є вони в базі, а не для того, щоб щось збирати.

Facepalm, каюсь. Забыл про «@»... match_phrase_prefix решил это недоразумение :)

Пропал :D

Потому что вы, скорее всего, ищите их в таком формате, как указано на этом сайте — с пробелами, а они разделяют слова как при поиске в гугле :)

Сейчас выкачу обновление которое это пофиксит.

Наверное стоит добавить, что это просто полнотекстовый поиск по всем предоставленным данным: таблица users (100к строк), таблица signatures (с json, реальных 41993 строк) и семпл из 26227 json файлов. Итого 168220 разных записей.

Из таблицы users взяты колонки: phone, email, passport_series || passport_number, id_card_number, ipn
JSON-ы взяты как есть, целиком.
Все помещено в Elastic.

И по всему этому объему (~2,54Гб текста) идет поиск.

— По фамилии искать нет смысла из-за однофамильцев. Кроме того 100к фамилий из users намеренно не включены в поиск (могут найтись только из signatures, но это не репрезентативно).
— Есть смысл искать по email, по ИНН. Они достаточно длинные, чтобы не стать частью какой-то под-строки.
— Номера телефонов в JSON (signatures) в разных форматах хранятся, можно не угадать (со скобками, с пробелами, с тире, цельно, короче — рандом).
В users всегда строго в формате 38xxxxxxxx. Можно по экспериментировать.
— Номер паспорта маленький, может оказаться, что он является частью чьего-то номера. Но если его нет, то это, естественно, хорошо.

У дампі users такого прізвища немає. У дампі signatures є лише однофамільці.

Но не номер/серию паспорта же, да?)

dou.ua/...​rums/topic/36213/#2328187

Тут парень описал как узнать его.

В дампе первая колонка, userId

Косяк был, не включил колонку ipn из таблицы users в поиск. Пофикшено.

Может баг какой, или ищешь не так как там...
Напиши мне на artur.vilko (@) gmail com что именно не находит

В повторных сообщениях парень писал, что платная версия загрузится на файлообменник только к понедельнику, и ускорить он этого не может.

Может просто удалили?