Как Hyundai данные оберегал

[kolu4iy]

Когда меня динамили в российском представительстве киа "не знаю где ваша машина", я на ломаном английском написал корейцам. На следующий день у меня появился vin автомобиля в Корее, о чем мне сообщил удивленный российский менеджер по продажам. Резюме: в сложных случаях писать в головную компанию. Они заинтересованы в сохранении своего реноме.

[Evgenym]

Подтверждаю. Когда у жены начались качели, мол «а это не гарантийный случай», письмо в головную компанию решило все вопросы в течение пары дней.

[arkamax]

+1. В штатах местный дилер Subaru попытался взять с меня денег за перепрошивку аудиосистемы вне основной гарантии, несмотря на то, что она глючила с первого дня (просто фикса не было) — а у меня была еще и дополнительная гарантия от производителя, они просто не хотели по ней что-то делать. Один звонок в головной офис Subaru — и дилер бесплатно сделал всю работу, а от менеджера головного офиса прилетели извинения и подарочный купон на будущие регламентные работы. Domo arigato, все довольны (и менеджер в дилершипе теперь за руку здоровается).

[GeorgKDeft]

Я решил проверить сайты дилеров, их довольно много на территории РФ, но за 10 минут получил список из 20 сайтов, от которых я могу получить и стереть данные.

Теперь если что то пропадет они официально знают на кого в суд подать? А различные не чистые на руку граждане в компании могут закосить под дурака чтобы свои косяки прикрыть неожиданной атакой или сбоем?

[EproTM]

Изначально было так: я просто зашел из поиска и «выпали» пароли, у них одна статья на все сайты дилеров, но не всех сайтах-дилерах она была в базе. А в базу пришлось вынужденно зайти, в надежде найти контакты админов, т.к. никто не знает кому и куда писать. Естественно никаких выгрузок не делалось, просто осмотр

[GeorgKDeft]

Я больше имел ввиду такой вариант что теперь косяки по it будут оправдывать взломом, даже тогда когда этого вообще не было.

как то так например.

[Squoworode]

Естественно никаких выгрузок не делалось, просто осмотр

Вот только для осмотра необходимо сначала выгрузить осматриваемую информацию…

[EproTM]

А как насчет интерфейса phpmyadmin?

[DrunkBear]

В своё время находил баг на сайте Infinity (с выдачей error502 и вываливающися на пользователя логе), выслал на контакты скрин, описание и шаги для воспроизводства.
Пришёл вопрос «и что нам с этим делать»?
И действительно.

[AllexIn]

Это вам кажется вопрос тупым.
А на той стороне человек ни в зуб ногой в веб разработке, даже не понимающий что ему прислали.

[DrunkBear]

Передать айтишникам / начальству?
У одного из инструментов для заработка денег вылезла проблема — наверняка это должно волновать кого-то ещё?
PS примерно тот же вопрос задали айтишники РЖД, когда подруга-тестер прислала им кейс невозможности заказать билеты с сайта — «Скажите, а как нам это поправить?»

[AllexIn]

Есть вероятность что они даже не поняли что вы им прислали и к кому с этим идти.

[DrunkBear]

Может быть, хотя тема письма была «я нашёл у вас проблему на сайте» и шаги для воспроизводства — можно было ручками потыкать и найти тот же баг.
В любом случае, чем мог — тем помог, если бизнесу пофиг или он не учитывал, что из внешних источников приходит информация об ошибках — это уже не моя проблема.

[lingvo]

А нельзя связаться с контактами, которые вы нашли, найти адвоката и за 33%/33%/33% подать коллективный иск к компании на пару лимонов за неправильное обращение с персональными данными? Это ж отличный легальный заработок.

ИМХО схема должна быть легко обыгрываемой:

• данный баг сливается анонимному "плохому ITшнику"
• который выставляет данные людей из иска в открытом доступе или "пакостит" им каким-либо незлым, в основном моральным способом — для доказательств морального и материального ущерба
• нанимается "хороший" ITшник, который доказывает, что есть брешь в IT и находит не только людей из иска, а и кучу других.
• иск к компании в суд со всеми доказательствами на компенсацию всех расходов, морального и материального ущерба "пострадавших" + штраф.

Тогда в следующий раз будут быстрее реагировать и вы не зря старались. В США это б быстро сделало вас миллионером — там такие вещи просто так не пропадают.

[EproTM]

Данный способ хорош, но не у нас) Какие суммы морального ущерба у нас платят? пошлины суда соразмерно в итоге будут выше, хватило бы домой добраться на такси. Это не несчастный случай в IKEA, там действительно им интересно подавать иски, потом всю жизнь беспечно живут, а у нас в бумажной волоките захлебнешься

[EproTM]

Я это понял, я имел ввиду соразмерно, что по итогу суд получит больше с пошлин, чем истец за моральный ущерб.

[warmbellycat]

Ну зачем же так сложно, просто заявление в прокуратуру с описанием, что по такому-то адресу в сети интернет доступны логины и пароли для базы данных, где потенциально могут храниться персональные данные, по всей видимости владелец сайта(ов) халатно относится к исполнению ФЗ о ПД, прошу принять меры.

[lingvo]

Я считаю, что процесс должен быть интересным и показательным.

[mickvav]

Так на нем заработает только прокурор…

[arkamax]

> данный баг сливается анонимному «плохому ITшнику»
Одно это в США сделает вас не миллионером, а подсудимым. Заработать на таких вещах в общем случае как минимум непросто, и получается в редких случаях, когда компания а) адекватна и б) имеет желание сотрудничать. Говорю по личному опыту общения с платежными системами на разные интересные темы.

[dvserg]

Может РКН знает, что делать? Не все же им «только лишь всем» учения по Рунету устраивать и с телегой бороться.

[and7ey]

РКН? Знает?
Конечно, знает. Как писать отписки типа «а мы-то тут причем? идите в суд». Основано на собственном опыте.

[tuxi]

Не надо удивляться, почему офдилер так прохладно относится к этой теме. Производитель авто очень часто навязывает им свое "типовое" решение, без всякой возможности как то повлиять на него (доработки, кастомизация и т.п.) Отчасти их ответы можно перевести на обычный язык так: " вот кто это создал, тот пусть и разбирается"

[EproTM]

Так у них получается что на заводе, что у дилеров, дальше колл-центра общаться не хотят.Я им говорю, вы понимаете что сайт могут взломать и могут утечь персональные данные? Они даже переводить или консультироваться ни с кем не хотят, т.е. наверное штатная ситуация, когда что-то идёт не так и надо просто сохранять спокойствие, сплюнуть, постучать и работать дальше)

[tuxi]

я думаю, что около половины (если не больше) оф.дилеров, понятия не имеют, кто и где поддерживает этот «их сайт», на которой им кто то сбацал минисайтик и указал их название и адрес. Я думаю, что там даже такой должности нет. Вот у крупных, да. С их мнением производитель считается и они часто делают свои системы (либо полностью, либо на платформе производителя) и там уже можно получить более адекватную обратную связь.

[EproTM]

Поэтому я звонил в крупные, которые на слуху в МСК, у каких не один салон.

[tuxi]

Тут сложно сказать, что то конкретное. У крупных (лично знаю такие случаи) может быть как и свой собственный«портал», так одновременно и «стандартный». Вот ко 2-му они точно так же могут не иметь никакого отношения. Мое резюме: обращаться надо к производителю.

[NAI]

Вы хотите слишком быстрой реакции. В крупных компаниях пока заявку зарегистрируют, пока на подпись принесут, пока ответственный сотрудник до нее дойдет, потом окажется, что делается это все на аутсорсе, пока посовещаются, будут долго выяснять что с этим делать, кто будет платить и вот тогда спустят до программиста/devops и то не факт что с пометкой "критикал".
У нас (мы правда не IT) письмо из соседнего кабинета можно неделют ждать.

[EproTM]

Не обязательно делать регистрацию заявки. Laravel самостоятельно собирает свои ошибки в логах. При условии что компания обслуживает десятки сайтов и их надо мониторить, почему не сделать сборщик логов? Тут больше момент организации и подходу к обслуживанию. Да и судя по whoops записи в базе то нет, firstOrFail() выбил бы 404 и всё, страница была бы не найдена

[IvanTheCrazy]

Как говорил один мой преподаватель «не могут вещи с названием ХУндай нормально работать»

[ferosod]

А как это относится к Хёндэ?

[i360u]

Этим преподавателем был Альберт Эйнштейн трудовик?

[Aquahawk]

Вообще очень интересно наблюдать как у крупных компаний существует множество интерфейсов общения, и как правило задача поддержки это просто принять негатив и как-то заткнуть ситуацию, т.е. часто у специалиста поддержки на самом деле нет вообще никакого способа передать куда либо серьёзный сигнал. Причём телефон, электронная почта и физическая почта это три разных канала коммуникации в которых нужно разговаривать разным способом.

[MRD000]

В реально больших компаниях типа телекомов это большая проблема. Я пока не видел какого-то хорошего решения. Одна из компаний, где я работал, заметила, что в системах заказа установки интернета, например, заказ может зависнуть и клиенту нужно самому звонить, чтобы разобраться. Поэтому они создали отдел, который стал заниматься разными исключительными ситуациями типа описанной. Также они пробовали, например, перед заказанным посещением ремонтника звонить и просить клиента сделать простые вещи типа перезагрузки роутера. Целый этаж выделили под этот отдел. Не знаю точно о полученных результатах, но сама идея мне очень понравилась.

Совершенный контраст был у меня недавно с МТС. Новый тариф сделан как-то с сильными изменениями биллинга и настройки должен переделывать кто-то по заявке где-то в колцентре или не знаю где. Причем даже просто активация нового биллинга заняла чуть ли не 15 минут, когда ремонтник позвонил в колцентр. Потом еще какие-то заявки должны были отработать, поступали странные сообщения с упоминанием виртуальных номеров (видимо в биллинге интернет на виртуальный номер?). В общем, не все сработало. Пришлось кучу раз звонить и несколько раз ходить в центр обслуживания. Как раз таки пример, когда куча работы, которую можно сделать автоматизировано, отдают колценру и получают кучу исключительных ситуаций, когда кто-то где-то недопонял, кто-то недозаполнил, а про причины всего этого другие люди строят догадки, потому что не знают. А ведь не все такие терпеливые как я. Явно теряются клиенты и работники тратят кучу времени. Но я не уверен насколько этот случай «интересен», по-моему явное отсутствие управления.

[SwingoPingo]

А какие плюшки можно извлечь из этой ситуации? Естественно при почитании кодекса.
Или как говорят с алмазами: нашел — выбрось. Ибо больше проблем чем пользы.
Не ну ясно дело их взломают, но как бы какое Вам то дело?

[EproTM]

1. Если упираться на кодекс, то можно сказать гражданский долг.
2. Тут и не бралось, тут просто сказали где лежит.
3. Дело не в том, что взломают или нет, в последнее время у меня телефон разрывается от спама, не будем уточнять что есть софт, а в общем. Тут могут быть конкретные действия к негативным последствиям. Зачем расширять публичные базы с информацией о вас? Одним запросом про авто, вы говорите, что у вас есть деньги.

Тут не только акцент к данной проблеме текущей организации, а к вопросу в общем.

[dilukhin]

Возможно, автор, самоотверженно сообщая о проблеме, просто тычет пальцем небо, т.е. обращается не к тем сотрудникам? Я например понимаю, что саппорт провайдера с первого звонка ничего не сделает, кроме как провести по скрипту (иногда грамотно составленному). И что вы хотите от саппорта низшего уровня, квалификации в It-безопасности? У них в скрипте нет таких слов. Нужно долго и нудно искать компетентного человека, раз уж вы решились донести проблему, а не перекладывать этот поиск на болванчиков с наушниками. А если считаете, что вам это не надо — то зачем вообще что-то делать? Видишь криво — пройди мимо, как говорит моя бабушка мудрость предков.

[EproTM]

По факту я ничего не должен, я не являюсь их сотрудником ни на каком уровне и не получаю зарплату. Как сказал Whuthering, есть разные уровни тех поддержки с переводом на старших специалистов, просто в данном случае это не является важным для них. Есть понятие вменяемости и оценки ситуации, сотрудник не засчитал это за ситуацию для уведомления старшего, следовательно это его вина. Я думаю каждый человек может понять что такое взлом и утечка данных и IT-квалификация здесь не требуется. Если работали бы такие в гос. структурах, у нас «ложных» эвакуаций не было бы.

[mickvav]

Автор, а вы попробовали залезть в whois-записи домена? Может там какой более вменяемый контакт указан?

[EproTM]

Конечно, в большинстве случаев регистратором являемся автосалон, подробных контактов нет. Но при этом в базе указано 3 email, которые ссылаются на головной салон Хёнде (соответственно у дилеров нет доступа), на которые соответственно и были направлены сообщения, так же была добавлена почта отдела кадров.

[abramov231]

Когда уже за очевидные уязвимости, произошедшие по вине компании, начнут выписывать милионные штрафы? Мы доверяем им свои данные, покупаем товаров на миллионы, а они экономят на зарплате одного специалиста по безопасности.

[Areso]

Где большие штрафы регулярно выписывают, там за данными блюдут лучше.
У нас же пока основная проблема [и враг государства номер один] это Телеграм, а не компании с плохими политиками/процессами и безответственными разработчиками/админами.
А вот если бы каждый мог подать в суд за разглашение данных с высоким шансом получить тысяч двести рублей за разглашение данных, то ситуация бы резко изменилась.
Но увы, риск менеджмент пока что может этот сценарий игнорировать, как очень маловероятный.

[corvair]

Интересно, каково с ИБ у АвтоВАЗа? Лидер продаж, представлен во всех регионах, то есть персональных данных должно быть много. Мне в начале 2016 года, то есть, через полгода после приобретения машины, звонили с коллцентра и интересовались насчёт впечатлений от машины, есть ли проблемы и т. д. Потом звонили ещё пару раз примерно с годичным интервалом, то есть, данных о клиентах должно быть немало.

[EproTM]

Это разные уровни хранения данных, мало кто будет вести учет данных на сайте — это риски. для таких целей компании используют внутренние CRM/сервера, а камикадзе эксель) с учетом что многие любят не платить и используют opensource решения в жизни, в них самое правильное выгружать данные по API в CRM и сразу же удалять всю информацию

[Renaissance]

Работал когда-то в ИТ-отделе автодилера (даже нескольких одновременно, т.к. владелец был один). В мои обязанности также входила поддержка веб-сайтов дилеров, они достались мне уже в наследство.

Сами сайты были сделаны на opensource CMS, почта обратной связи, если не ошибаюсь, была настроена на маркетолога. Но, если туда попадали непонятные для маркетолога письма или запросы, она сразу приходила с этим к нам. Если звонили на ресепшн с подобным — тоже сразу переводили к нам. Персональные данные на самом сайте не хранились, все сразу уходило на почту РОПов, вся чувствительная информация была в 1С.
WHOIS доменов был настроен на ИТ-отдел, туда ничего криминального за годы моей работы не приходило.

Головные офисы бренда не особо «парились» насчет технической реализации и безопасности сайтов дилеров, им было главное чтобы контент отражал актуальные предложения и акции.

[Renaissance]

Что еще вспомнилось: наример VAG имел свои внутренние глобальные ИС, и если там и были ПД, то вся работа в них шла только через VPN, у Автоваза про VPN не помню, но точно была работа по сертификатам. У GM даже не вспомню сейчас что было. Это к слову про защищенность данных в былые времена.

[achekalin]

Питерские дилеры? Наглые конторы, заточенные под навязывание и чуть не обман посетителей, не брезгующих рассылкой спама после клятвенные заверений, что рассылок никогда не будет — и вы думаете, что вы через них решите ваши проблемы?

[Xambey]

Вот поэтому я и ~~ненавижу ~~ не люблю иметь дела с людьми в поддержке, если бы подобным занималась автоматика, сообщения поддержки попадали бы куда надо. Даже тупой скрипт проверяющий сообщение на ключевые слова смог бы понять, что это сообщение надо переадресовать в IT отдел по безопасности и тп

[member0]

Автор, зачем себе портить нервы? Лично я уже ничему не удивляюсь после описанного здесь, на хабре, случая со Steam'ом. Человек сообщал несколько раз о багах, а в ответ ему просто забанили акк, вместо выплаты багбаунти. Чему еще удивляться, после такого?

Рекомендую кейс: нашли баг => отправили вендору на е-маил => выждали необходимое количество дней (мораль, закон) => слили в паблик (на хабр или хакерские форумы) с пометкой о снятии с себя ответственности. И пусть заработают хакеры на этом, значит :)

Почему белошляпник должен бегать за компанией? Умолять, объяснять? Звонить 10 раз в колл-центр? Должно быть наоборот.

[VADemon]

Я читал про историю того человека и Steam, но полноты картины ради опишу свой случай:

Заметил сеть бот-аккаунтов для фишинга, они использовали баг в предпросмотре ссылок на Steam Community сайте: обычно добавляется домен-цель (somelink [example.com]), а они видимо URL-Regex обошли (стало: somelink [.]) и пользовались этим для фишинга.

Из интереса, потратив пару часов смог воспроизвести их вариант и отписался на security@. Через полтора дня мне ответили, сначала видно я непонятно объяснил, но человек на том конце разобрался, и спустя 50 минут после его ответа фикс докатился до серверов в проде.

Насчет бежать и умолять — согласен. С тех пор репортил фишинг всеми возможными способами (регистраторы, хостинг, SSL cert issuer, Google Safebrowsing), по началу помогало, но самые банальные противодействия с "той" стороны помогли против "девочек-саппортов"; reg.ru откровенно пофиг на происходящее, а своё время мне тоже дорого. Дурака не убережёшь.

[Helldar]

Рассылка по диллерам была 24-го января:


И это при том, что мы первые заметила данную особенность дилерских сайтов, о чем сообщили нескольким конкурентам и импортеру, включая конкретное лицо, занимающееся разработкой и сопровождением дилерской сборки. Но, как уже писали выше, всем срать.