В свободном доступе по-прежнему находится частная, финансовая и другая закрытая информация пользователей Fl.ru

    Несмотря на публикацию «Критическая уязвимость в безопасности на fl.ru», этот сервис продолжает раздавать всем желающим информацию, которую следовало бы закрыть от публичного доступа.

    Вы можете легко получить доступ к паспортным данным, адресу регистрации, почтовому адресу, E-mail, телефону и другой информации о пользователях Fl.ru, в том числе финансовой! Причем не только о фрилансерах, но и о заказчиках. Для этого не требуется применять какие-то хакерские приемы и взламывать сайт Fl.ru, достаточно просто пройти по ссылкам, проиндексированным Яндексом с указанием соответствующего реферера в заголовке запроса.

    Первый вариант — воспользоваться утилитой wget как рекомендует ValdikSS в своем комментарии:
    wget --referer 'https://st.fl.ru' http://st.fl.ru/about/documents/имя_документа.pdf

    Второй вариант — установить дополнение в браузер для указания конкретного реферера для конкретного сайта. Например, для firefox можно использовать это дополнение: addons.mozilla.org/ru/firefox/addon/refcontrol. После установки надо пройти в настройки RefControl и добавить сайт st.fl.ru, далее выбрать «Иное» и ввести в это поле
    https://st.fl.ru
    После нажатия «Ok» окно настроек должно выглядеть так:



    Все, теперь вы можете пройти по ссылкам Приложение к ОФЕРТЕ НА ЗАКЛЮЧЕНИЕ ДОГОВОРА
    или по техническим заданиям, а также по любым другим вариантам поиска Яндекса или Гугла по домену Fl.ru и получить доступ к информации, которая должна быть закрытой от публичного доступа!

    Я думаю, что указание конкретного реферера в http запросе не является противоправным деянием. Уверен, что Fl.ru следует предпринять более серьезные действия, чем проверка реферера — для того, чтобы закрыть от публичного доступа такую критически важную информацию. Например, показывать эти документы только авторизованным пользователям.

    UPD Пятница, 27-мар-2015 14:09
    На данный момент эту дыру Fl.ru наконец-то закрыла!
    Спасибо всем, кто принял участие в обсуждении, репостил иформацию и т.п. — мы таки заставили Fl.ru обратить на это внимание и принять меры!
    Поделиться публикацией

    Комментарии 62

      +35
      Как хорошо, что я свалил от туда, после запрета обмена контактами с клиентом.
        0
        А я недавно туда вернулся. Стало приятным сюрпризом, что во-первых теперь могут оставлять отзывы заказчики с которыми работаешь не через БС, а во-вторых теперь не препятствуют обмену контактами. Хотя не пользовался ими несколько лет, как раз по озвученной вами причине.
          +2
          Репутацию так просто не восстановишь, а у этих ребят ее нет после таких закидонов. Я после того, как мои ЛС стали читать, подправлять или удалять, просто ушел оттуда как заказчик. Тем, кто может себе позволить такое, доверия нет.
            +2
            А я ушел, после того как их арбитраж вернул все деньги заказа откровенно кинувшему меня заказчику, несмотря на все доказательства выполненной работы и махинаций заказчика.
              0
              Репутация репутацией, но есть ли у них конкуренты, которые по количеству заказов хотя бы достаточно близко к ним приблизились? Я то к ним вернулся не от хорошей жизни, а потому что на других биржах не было столько заказов.
                0
                есть ли у них конкуренты, которые по количеству заказов хотя бы достаточно близко к ним приблизились

                Конечно, oDesk, например. С иностранными заказчиками работать сложнее из-за языка, зато куда более выгоднее из-за курса. Потом, когда-то у Internet Explorer'a не было конкурентов, но «можно бесконечно долго обманывать одного человека, можно непродолжительное время обманывать большое количество людей, но нельзя постоянно обманывать всех». © Авраам Линкольн
                  0
                  Видимо мне надо было уточнить, что интересует только Российские биржы (подразумевал это априори). Я как правило договора заключаю, поэтому с иностранцами в этом плане работать сложнее (а точнее я даже не знаю как :)) и такие биржи даже не рассматриваю. А в этом случае у fl.ru просто нет конкурентов.
                    0
                    Еще несколько таких дыр и появятся :)
                      0
                      Ну его хоронят уже много лет, а он что-то всё никак…
          +1
          Есть ли какие-нибудь способы защитить свою информцию на этом сайте своими силами, или только не выкладывать файлы?
            +48
            Своими силами не использовать этот сайт.
              +1
              Выкладывать шифрованные архивы. Пароль можно в личке передать.
                +5
                Следующая новость про fl: «В открытом доступе личная переписка пользователей»
              +3
              С момента публикации уязвимости периодически проверяю их реакцию в их официальном сообществе
              И тишина!
                +2
                После слива базы пользователей, на сколько помню, тоже не было реакции.
                  +1
                  Даже уведомлений пользователям не удосужились прислать о том, что надо бы пароли сменить. habrahabr.ru/post/251487/
                  +5
                  Так у фирмы политика такая, замалчивать, разве это удивительно?
                • НЛО прилетело и опубликовало эту надпись здесь
                    +5
                    Тут вопрос не столько в бизнесе (хотя есть правда в ваши словах, есть) сколько в самом сайте. У них всё так… через запасной интерфейс…
                      +7
                      Он у них штатный, а не запасной.
                    +2
                    Думал что после того как Valdik спалил тему с рефером, то это быстро пофиксят.
                    не тут то было, на данный момент воз и нынче там.

                    Файлы: 2970 шт (дублей ~20шт. или с хешированием у них проблема).
                    Объём: 1.3 ГБ
                    Средняя скорость загрузки: 500Кб/с

                    Уже интерес пропал, они не сопротивляются, да и база эта нафиг не нужна как таковое, так разминка :(
                      +5
                      да и база эта нафиг не нужна как таковое
                      Возможно на этом тезисе они и строят свою защиту.
                        +3
                        Эффект Неуловимого Джо в действии
                          +1
                          Это не эффект, это стратегия
                      +4
                      Например, показывать эти документы только авторизованным пользователям.

                      Могу поспорить, что следующий фикс будет в том чтобы показывать документы только авторизованным пользователям, но при этом все документы всем пользователям. Какая-то заплатка на заплатке на заплатке.
                        0
                        По защитой административного кодекса хорошо, это неправомерный доступ, значит статья, значит все ок у них…
                        я такой ход мысли вижу
                          +1
                          Нее, если сайт сам позволяет получать данные, то какой тут неправомерный доступ?
                            –2
                            а кто говорит, что брать можно?
                              +1
                              Закон, например?

                              Под неправомерным доступом к охраняемой законом компьютерной информации следует понимать самовольное получение информации без разрешения ее собственника или владельца. В связи с тем что речь идет об охраняемой законом информации, неправомерность доступа к ней потребителя характеризуется еще и нарушением установленного порядка доступа к этой информации.

                              Сайт обычными методами позволяет получать с него информацию? Позволяет, следовательно нарушение установленного порядка доступа информации тут нет. Если вы сами будите разбрасывать по улицам ксерокопии своего паспорта глупо обвинять кого-то кроме себя в нарушении ваших персональных данных.
                              0
                              Если у вас дверь в квартиру открыта, воровать из неё всё равно нельзя по закону и если воров найдут, то осудят. Другое дело, что несмотря на то что вас защищает закон, замок на двери — вещь нелишняя.
                                0
                                Осудят. Но — по другой статье, совсем по другой… Даже запросто условно будет.
                                кража со взломом — совсем другое дело.
                                  0
                                  Если ты сам оставил ноут на лавочке в парке, то глупо говорить «украли», правильно говорить «прое%%%ал». Закон чаще всего не защищает в случаях «сам дурак», даже если ты найдешь того кто взял твой ноут ему ничего не будет.
                                    0
                                    Это смотря с какой стороны и сколько получат следователь и прочие участники цепочки, нужны ли им в текущий момент палки и т. п.
                                      0
                                      Ну, это из другой оперы, если так рассуждать то посадить можно вообще любого, даже если он ничего не сделал.
                            0
                            также доступны для поиска акты о выполнении работы
                              +2
                              Простите, что не в тему, мне это немного напоминает Сбербанк ОАО «Банк длинных очередей», который установил камеры прямо на клавиатуру ввода Пин-Кода (не скиминг). Вроде бы тоже конфиденциальная информация, однако банк не реагирует на это.
                                –6
                                Например, показывать эти документы только авторизованным пользователям.
                                Проблема в том, что файлы доступны по прямому адресу.
                                Достаточно закрыть доступ к файлам по прямой ссылке.
                                А файлы отдавать по сгенерированной ссылке вида: fl.ru/dl.php?key=<строка на 32-64 символа>
                                Или, для удобства программистов: fl.ru/dl.php?id=<id файла>&key=<md5 файла>
                                И все.
                                  0
                                  Какая разница, если файлы доступны всем подряд? Тут не в прямой ссылке дело, а в том что она доступна тем кому не должна.
                                    0
                                    Да, точно.
                                  +7
                                  Если паспортные данные попадают в общий доступ, разве это не нарушает закон о защите персональных данных? Может быть просто написать заявление в прокуратуру, раз не хотят по-хорошему закрывать дыры?
                                    +2
                                    Вот именно, что нарушает. Хотя Юля будет доказывать, что ссылки на паспорта уже выкладывали в другом месте =)
                                      +2
                                      После того как будет подано заявление, Юля будет уже следователю доказывать… а это уже совсем другая история )
                                        0
                                        По идее нарушает, но тут надо почитать их ToS. Вдруг они, как РЖД пишут что-то типа «все предоставленные вами данные являются общедоступными» и т.д. и т.п. Тем не менее было бы любопытно посмотреть, как поведут себя РКН и FL в этой ситуации.
                                    +10
                                    А во многих ТЗ есть и логины-пароли: filetype:pdf site:fl.ru техническое задание (логин && пароль) (ssh | ftp).

                                    Уверен, что приличная часть паролей все еще жива.
                                      0
                                      Более того, первый попавшийся — живой.
                                        +4
                                        А вот в этом ключе новость достойна упоминания на всех газетах рунета.
                                        «Поисковики проиндексировали логины/пароли от сайтов, которые заказывались на fl.ru».
                                        Желтизна, конечно, но уж так до администрации fl.ru точно дойдет.
                                        0
                                        Закрыли доступ, кажись.
                                          0
                                          Закрыли к /users/, однако поиск в другой директории (profects) работает
                                          +10
                                          Кажется, только публикации на хабре заставляют администрацию вспоминать о бирже.
                                            0
                                            Несмотря на то, что закрыли доступ, в индексе все еще есть копии вот тут
                                              0
                                              сори, видимо проблемы с браузером. вот ссылка: go.mail.ru/search?d=0&g=0&site=st.fl.ru&q=%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D1%8C&rch=l&file=pdf&advs=1&sf=10
                                              +2
                                              Почему fl.ru не может найти фрилансера-«ибешника»?
                                              А лучше взять в штат хотя бы одного спеца по информационной безопасности.
                                                0
                                                А зачем? Сайт приносит очень неплохой доход, количество пользователей и заказов растёт.
                                                А все эти дыры никакой роли не играют: шум затихает через 2-3 дня. Через неделю уже никто об этом и не вспомнит
                                                0
                                                Меня лень защищает от любопытства, что же на серверах лежит к которым пароли в открытом доступе.
                                                Хоть в чем то я рад ей.
                                                  +6
                                                  Доступ то прикрыли, так теперь я с лички pdf от заказчиков скачать не могу.
                                                    +5
                                                    *Сарказм*
                                                    Скажите имя файла, может у меня есть, пришлю :D
                                                      0
                                                      Боюсь вам ссылку дать, они неугодных блокируют сразу.
                                                      0
                                                      Хотя fl отдает то 403, то 404, кэш поисковиков помнит все!
                                                      Включая логины и пароли из сообщений выше :(
                                                      +1
                                                      похоже fl писали фрилансеры
                                                        0
                                                        Вы не поверите, но на одном из первых семинаров-сборов free-lance.ru, Антон Мажирин об этом говорил, так и есть. Может быть его с того времени переписали, не владею информацией.
                                                      0
                                                      С Google Docs та же история: всё, к чему открыт доступ по ссылке (по крайней мере, если ссылка была отправлена в скайпе — то точно), будет проиндексировано и может быть открыто через обычный поисковой запрос…

                                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                      Самое читаемое