У мене в місті відкрився недавно мультиплекс (прикольний кінотеатр). У цього кінотеатру є своя онлайн платформа для покупки квитків. І я в цій платформі побачив чітку вразливість - хоть хто може подивитися чужі квитки. [Як приклад, це були мої квитки цього тижня](https://new.multiplex.ua/cart/5d179528ada34e07a1bf1efa5b30a55e/tickets/pdf). Структура посилання виглядає так:

[https://new.multiplex.ua/cart/{id}/tickets/pdf](https://new.multiplex.ua/cart/%7Bid%7D/tickets/pdf)

id - згенерований guid. 

Тобто вектор атаки тут достатньо прямолінійний. Можна пробувати перебором подивитися на чужі квитки і потім на халяву сходити в кіно. Але, коли я більше почав думати за цю ситуацію, то ризики достатньо маленькі. Бо побачиш ти чужий квиток, а далі то що. Якщо це квиток не з мультиплексу в твоєму місті, то ти нічого з цим зробити не зможеш. Тим не менш, могли б вони розробити хоча б мінімальний AC (Access Control), де ти через телефон проводиш авторизацію. Що ви думаєте?