На досуге я экспериментировал с webhooks в PayPal и пытался спровоцировать Eventы для того чтобы первые всё-таки сгенерировались. Для этого в своём PayPal акаунте я создавал тестовые инвойсы и случайно сделал один на адрес sds@gmail.com. Сделал и подумал вряд ли есть такой короткий адрес у кого-то и продолжил бороться с хуками, которые так и не заработали до сих пор. Но каково было моё удивление, когда у себя в PayPal в списке активностей я заметил, что тот самый тестовый инвойс обрёл имя…
Иван Середа.
Мне стало интересно и я из любопытства попытался узнать больше об этом интересном человеке. Который возможно стоял у истоков гугла. Из поисковых систем ничего узнать не удалось, к сожалению, имя и фамилия оказались одинаковыми со знаменитым героем войны.
Но дальше мне стало интересно пробить ещё более красивые имейлы подобным способом и получилось, что например abc@gmail.com принадлежит Abdul Jabbar, a@gmail.com -> Ads Sdf, b@gmail.com -> Galgla Galgal и i@gmail.com -> Maria Victoria de la Puente, g@gmail.com -> a a, i@hotmail.com -> Sevgi tertemiz и тд и тп.
Конечно, полтора из них звучат не реалистично, на некоторые инвойсы мне приходили подобные извещения «Your invoice to Maria Victoria de la Puente wasn’t delivered». Что странно: пейпал знает и выдал мне имя, а счёт доставить не смог. Получается, старина пейпал, в качестве вишенки на торте, по доброте душевной, проверил эти красивые адреса на жизнеспособность принимать почту. Возможно из-за их былой красоты и чрезмерной популярности большинство из них сейчас заброшены. Но сама дыра в приватности данных заворожила меня и я попробовал телефонные номера и это тоже сработало…
Дальше делать это вручную мне стало лень. Конечно, с помощью API можно создать много и очень много запросов в PayPal и узнать много и очень много реальных имён людей с пейпал счетами не только из Gmail. Конечно пейпал выдаёт данные ФИО которые им ввели сами пользователи. Хотя многие вводят реальные потому что на них базируется доставка оплаченных товаров и всякая авторизация и они должны быть зарегистрированы в пейпале.
Но оказалось что подобным способом можно и по номеру тел пробить имя, так как сейчас пейпал привязывает счета к номерам мобильников.
Я один думаю, что это дыра или баян и так оно и положено быть?
P.S.: если кто-то из читателей мог-бы помочь с настройками многострадальных хуков было бы здорово…
Автор: chouck