У мене в місті відкрився недавно мультиплекс (прикольний кінотеатр). У цього кінотеатру є своя онлайн платформа для покупки квитків. І я в цій платформі побачив чітку вразливість - хоть хто може подивитися чужі квитки. Як приклад, це були мої квитки цього тижня. Структура посилання виглядає так:

https://new.multiplex.ua/cart/{id}/tickets/pdf

id - згенерований guid.

Тобто вектор атаки тут достатньо прямолінійний. Можна пробувати перебором подивитися на чужі квитки і потім на халяву сходити в кіно. Але, коли я більше почав думати за цю ситуацію, то ризики достатньо маленькі. Бо побачиш ти чужий квиток, а далі то що. Якщо це квиток не з мультиплексу в твоєму місті, то ти нічого з цим зробити не зможеш. Тим не менш, могли б вони розробити хоча б мінімальний AC (Access Control), де ти через телефон проводиш авторизацію. Що ви думаєте?