Как Hyundai данные оберегал



(контакты скрыты, но контекст остался, он является общими вопросами, не несет конфиденциальную информацию и служит для валидации сотрудниками hyundai реальности информации указанной ниже)

Статья 29, ч.4 Конституции Р.Ф. – «Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию». Но даже несмотря на это, любая компания о которой вы получите данные будет считать, что вы получили их незаконным путем и будет пытаться разобраться с вами досудебными методами.

Но что делать в случае, если компания сама предоставляет данные?

Добро пожаловать в «Хендэ мотор мануфактуринг рус».

Буквально пару дней назад, я пробовал найти информацию о сменах на заводе в Санкт-Петербурге, загуглив «хендэ режим работы смен» нашлась довольно интересная информация, если перейти на первый сайт одного из дилеров то будет Whoops от Laravel, который естественно содержит в себе пароль и логин от базы данных.


(шаблон для появления ошибки *****.com/news/RAND)

Но что делать, если ошибка типовая и не одна?

Я решил проверить сайты дилеров, их довольно много на территории РФ, но за 10 минут получил список из 20 сайтов, от которых я могу получить и стереть данные.

Как добропорядочный гражданин я первым делом с утра в полдень, позвонил на горячую линию и мне сказали «увы, мы не можем вам помочь, напишите в форме обратной связи». Попросив телефона отдела кадров в надежде что там смогут связать меня с руководителем IT отдела, сказали «отправьте резюме, с вами свяжутся».

Окей, позвоним тогда дилерам.

После прозвона 5 дилеров, все сказали что им это не интересно, что связать ни с кем не могут.
В ответ на мои слова что может быть утечка данных, отговорка одна: «к сожалению мы ничем не можем вам помочь, пишите на почту, опишите проблему, вам ответят в порядке очереди».

В базах содержатся вопросы, про авто, обслуживание, да и в общем любые вопросы. Получается что любой из дилеров, может перетягивать заявки или кто-то из нелегалов может делать прозвоны и навязывать услуги и это в лучшем случае.

Посмотрел таблицу users, содержатся контакты только от @hyundai, написав на электронную почту и в отдел кадров, спустя несколько часов ответа не поступило. Надеюсь публичное проявление даст им зеленый свет на правку и отключение режимов отладки.

Выводы


  • Делайте инструкции для контакт-центров
  • Отключайте перед продакшеном режим отладки
  • Да и вообще, изучайте документацию фреймворков, не зря же придумали .env, где в dev и prod можно сделать разные настройки, а лучше делать сразу с привязкой к правам.
  • Если вы крупняк, помните про Bug Bounty (да хотя бы на прохладный пенный напиток), заказывайте подряд на поиск ошибок, руководители отделов — перепроверяйте сотрудников, а сотрудникам желаю — внимательности.

Так же огромное спасибо, что я трачу свои деньги на телефоне, звоню, хочу сообщить важную информацию и мне говорят адьос. После такого желание помогать резко возрастает, но себе.

В данный момент данные доступны на ряде сайтов дилеров, производителю не интересно выходить на контакт. Несколько раз писал им на почту и звонил по телефонам которые были найдены в сети. Если кто-то имеет более теплые и близкие отношения с данной организацией, передайте им привет.

Опубликовано спустя 48 часов с последнего email.
AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее
Реклама

Комментарии 55

    +21

    Когда меня динамили в российском представительстве киа "не знаю где ваша машина", я на ломаном английском написал корейцам. На следующий день у меня появился vin автомобиля в Корее, о чем мне сообщил удивленный российский менеджер по продажам. Резюме: в сложных случаях писать в головную компанию. Они заинтересованы в сохранении своего реноме.

      +2
      Подтверждаю. Когда у жены начались качели, мол «а это не гарантийный случай», письмо в головную компанию решило все вопросы в течение пары дней.
        +3
        +1. В штатах местный дилер Subaru попытался взять с меня денег за перепрошивку аудиосистемы вне основной гарантии, несмотря на то, что она глючила с первого дня (просто фикса не было) — а у меня была еще и дополнительная гарантия от производителя, они просто не хотели по ней что-то делать. Один звонок в головной офис Subaru — и дилер бесплатно сделал всю работу, а от менеджера головного офиса прилетели извинения и подарочный купон на будущие регламентные работы. Domo arigato, все довольны (и менеджер в дилершипе теперь за руку здоровается).
        –17
        Я решил проверить сайты дилеров, их довольно много на территории РФ, но за 10 минут получил список из 20 сайтов, от которых я могу получить и стереть данные.

        Теперь если что то пропадет они официально знают на кого в суд подать? А различные не чистые на руку граждане в компании могут закосить под дурака чтобы свои косяки прикрыть неожиданной атакой или сбоем?
          +2
          Изначально было так: я просто зашел из поиска и «выпали» пароли, у них одна статья на все сайты дилеров, но не всех сайтах-дилерах она была в базе. А в базу пришлось вынужденно зайти, в надежде найти контакты админов, т.к. никто не знает кому и куда писать. Естественно никаких выгрузок не делалось, просто осмотр
            +5
            Я больше имел ввиду такой вариант что теперь косяки по it будут оправдывать взломом, даже тогда когда этого вообще не было.


            как то так например.
              +1
              Естественно никаких выгрузок не делалось, просто осмотр
              Вот только для осмотра необходимо сначала выгрузить осматриваемую информацию…
                0
                А как насчет интерфейса phpmyadmin?
            +8
            В своё время находил баг на сайте Infinity (с выдачей error502 и вываливающися на пользователя логе), выслал на контакты скрин, описание и шаги для воспроизводства.
            Пришёл вопрос «и что нам с этим делать»?
            И действительно.
              +5
              Это вам кажется вопрос тупым.
              А на той стороне человек ни в зуб ногой в веб разработке, даже не понимающий что ему прислали.
                +2
                Передать айтишникам / начальству?
                У одного из инструментов для заработка денег вылезла проблема — наверняка это должно волновать кого-то ещё?
                PS примерно тот же вопрос задали айтишники РЖД, когда подруга-тестер прислала им кейс невозможности заказать билеты с сайта — «Скажите, а как нам это поправить?»
                  +2
                  Есть вероятность что они даже не поняли что вы им прислали и к кому с этим идти.
                    0
                    Может быть, хотя тема письма была «я нашёл у вас проблему на сайте» и шаги для воспроизводства — можно было ручками потыкать и найти тот же баг.
                    В любом случае, чем мог — тем помог, если бизнесу пофиг или он не учитывал, что из внешних источников приходит информация об ошибках — это уже не моя проблема.
              +5

              А нельзя связаться с контактами, которые вы нашли, найти адвоката и за 33%/33%/33% подать коллективный иск к компании на пару лимонов за неправильное обращение с персональными данными? Это ж отличный легальный заработок.


              ИМХО схема должна быть легко обыгрываемой:


              • данный баг сливается анонимному "плохому ITшнику"
              • который выставляет данные людей из иска в открытом доступе или "пакостит" им каким-либо незлым, в основном моральным способом — для доказательств морального и материального ущерба
              • нанимается "хороший" ITшник, который доказывает, что есть брешь в IT и находит не только людей из иска, а и кучу других.
              • иск к компании в суд со всеми доказательствами на компенсацию всех расходов, морального и материального ущерба "пострадавших" + штраф.

              Тогда в следующий раз будут быстрее реагировать и вы не зря старались. В США это б быстро сделало вас миллионером — там такие вещи просто так не пропадают.

                +4
                Данный способ хорош, но не у нас) Какие суммы морального ущерба у нас платят? пошлины суда соразмерно в итоге будут выше, хватило бы домой добраться на такси. Это не несчастный случай в IKEA, там действительно им интересно подавать иски, потом всю жизнь беспечно живут, а у нас в бумажной волоките захлебнешься
                  0

                  Пошлины суда и прочие обоснованные административные расходы взыскиваются отдельно, моральный ущерб отдельно. Так что можно попробовать.


                  Вообще, какая польза от этих институтов, если ими, как пишут тут, не пользоваться?

                    +1
                    Я это понял, я имел ввиду соразмерно, что по итогу суд получит больше с пошлин, чем истец за моральный ущерб.
                  0
                  Ну зачем же так сложно, просто заявление в прокуратуру с описанием, что по такому-то адресу в сети интернет доступны логины и пароли для базы данных, где потенциально могут храниться персональные данные, по всей видимости владелец сайта(ов) халатно относится к исполнению ФЗ о ПД, прошу принять меры.
                    0

                    Я считаю, что процесс должен быть интересным и показательным.

                      0
                      Так на нем заработает только прокурор…
                      +5
                      > данный баг сливается анонимному «плохому ITшнику»
                      Одно это в США сделает вас не миллионером, а подсудимым. Заработать на таких вещах в общем случае как минимум непросто, и получается в редких случаях, когда компания а) адекватна и б) имеет желание сотрудничать. Говорю по личному опыту общения с платежными системами на разные интересные темы.
                      +2
                      Может РКН знает, что делать? Не все же им «только лишь всем» учения по Рунету устраивать и с телегой бороться.
                        +2
                        РКН? Знает?
                        Конечно, знает. Как писать отписки типа «а мы-то тут причем? идите в суд». Основано на собственном опыте.
                        +1

                        Не надо удивляться, почему офдилер так прохладно относится к этой теме. Производитель авто очень часто навязывает им свое "типовое" решение, без всякой возможности как то повлиять на него (доработки, кастомизация и т.п.) Отчасти их ответы можно перевести на обычный язык так: " вот кто это создал, тот пусть и разбирается"

                          +2
                          Так у них получается что на заводе, что у дилеров, дальше колл-центра общаться не хотят.Я им говорю, вы понимаете что сайт могут взломать и могут утечь персональные данные? Они даже переводить или консультироваться ни с кем не хотят, т.е. наверное штатная ситуация, когда что-то идёт не так и надо просто сохранять спокойствие, сплюнуть, постучать и работать дальше)
                            +2
                            я думаю, что около половины (если не больше) оф.дилеров, понятия не имеют, кто и где поддерживает этот «их сайт», на которой им кто то сбацал минисайтик и указал их название и адрес. Я думаю, что там даже такой должности нет. Вот у крупных, да. С их мнением производитель считается и они часто делают свои системы (либо полностью, либо на платформе производителя) и там уже можно получить более адекватную обратную связь.
                              +1
                              Поэтому я звонил в крупные, которые на слуху в МСК, у каких не один салон.
                                +1
                                Тут сложно сказать, что то конкретное. У крупных (лично знаю такие случаи) может быть как и свой собственный«портал», так одновременно и «стандартный». Вот ко 2-му они точно так же могут не иметь никакого отношения. Мое резюме: обращаться надо к производителю.
                                  +1

                                  Вы хотите слишком быстрой реакции. В крупных компаниях пока заявку зарегистрируют, пока на подпись принесут, пока ответственный сотрудник до нее дойдет, потом окажется, что делается это все на аутсорсе, пока посовещаются, будут долго выяснять что с этим делать, кто будет платить и вот тогда спустят до программиста/devops и то не факт что с пометкой "критикал".
                                  У нас (мы правда не IT) письмо из соседнего кабинета можно неделют ждать.

                                    –1
                                    Не обязательно делать регистрацию заявки. Laravel самостоятельно собирает свои ошибки в логах. При условии что компания обслуживает десятки сайтов и их надо мониторить, почему не сделать сборщик логов? Тут больше момент организации и подходу к обслуживанию. Да и судя по whoops записи в базе то нет, firstOrFail() выбил бы 404 и всё, страница была бы не найдена
                            –30
                            Как говорил один мой преподаватель «не могут вещи с названием ХУндай нормально работать»
                              +17
                              А как это относится к Хёндэ?
                                +11
                                Этим преподавателем был Альберт Эйнштейн трудовик?
                                  0
                                  del/mis
                                  +3
                                  Как говорил один мой преподаватель «не могут вещи с названием ХУндай нормально работать»

                                  И он же наверное вам говорил, что у него был автомобиль KIA и только поэтому он купил телефон Nokia?
                                  +2
                                  Вообще очень интересно наблюдать как у крупных компаний существует множество интерфейсов общения, и как правило задача поддержки это просто принять негатив и как-то заткнуть ситуацию, т.е. часто у специалиста поддержки на самом деле нет вообще никакого способа передать куда либо серьёзный сигнал. Причём телефон, электронная почта и физическая почта это три разных канала коммуникации в которых нужно разговаривать разным способом.
                                    0
                                    В реально больших компаниях типа телекомов это большая проблема. Я пока не видел какого-то хорошего решения. Одна из компаний, где я работал, заметила, что в системах заказа установки интернета, например, заказ может зависнуть и клиенту нужно самому звонить, чтобы разобраться. Поэтому они создали отдел, который стал заниматься разными исключительными ситуациями типа описанной. Также они пробовали, например, перед заказанным посещением ремонтника звонить и просить клиента сделать простые вещи типа перезагрузки роутера. Целый этаж выделили под этот отдел. Не знаю точно о полученных результатах, но сама идея мне очень понравилась.

                                    Совершенный контраст был у меня недавно с МТС. Новый тариф сделан как-то с сильными изменениями биллинга и настройки должен переделывать кто-то по заявке где-то в колцентре или не знаю где. Причем даже просто активация нового биллинга заняла чуть ли не 15 минут, когда ремонтник позвонил в колцентр. Потом еще какие-то заявки должны были отработать, поступали странные сообщения с упоминанием виртуальных номеров (видимо в биллинге интернет на виртуальный номер?). В общем, не все сработало. Пришлось кучу раз звонить и несколько раз ходить в центр обслуживания. Как раз таки пример, когда куча работы, которую можно сделать автоматизировано, отдают колценру и получают кучу исключительных ситуаций, когда кто-то где-то недопонял, кто-то недозаполнил, а про причины всего этого другие люди строят догадки, потому что не знают. А ведь не все такие терпеливые как я. Явно теряются клиенты и работники тратят кучу времени. Но я не уверен насколько этот случай «интересен», по-моему явное отсутствие управления.
                                    0
                                    А какие плюшки можно извлечь из этой ситуации? Естественно при почитании кодекса.
                                    Или как говорят с алмазами: нашел — выбрось. Ибо больше проблем чем пользы.
                                    Не ну ясно дело их взломают, но как бы какое Вам то дело?
                                      +2
                                      1. Если упираться на кодекс, то можно сказать гражданский долг.
                                      2. Тут и не бралось, тут просто сказали где лежит.
                                      3. Дело не в том, что взломают или нет, в последнее время у меня телефон разрывается от спама, не будем уточнять что есть софт, а в общем. Тут могут быть конкретные действия к негативным последствиям. Зачем расширять публичные базы с информацией о вас? Одним запросом про авто, вы говорите, что у вас есть деньги.

                                      Тут не только акцент к данной проблеме текущей организации, а к вопросу в общем.
                                      –3
                                      Возможно, автор, самоотверженно сообщая о проблеме, просто тычет пальцем небо, т.е. обращается не к тем сотрудникам? Я например понимаю, что саппорт провайдера с первого звонка ничего не сделает, кроме как провести по скрипту (иногда грамотно составленному). И что вы хотите от саппорта низшего уровня, квалификации в It-безопасности? У них в скрипте нет таких слов. Нужно долго и нудно искать компетентного человека, раз уж вы решились донести проблему, а не перекладывать этот поиск на болванчиков с наушниками. А если считаете, что вам это не надо — то зачем вообще что-то делать? Видишь криво — пройди мимо, как говорит моя бабушка мудрость предков.
                                      • НЛО прилетело и опубликовало эту надпись здесь
                                          +4
                                          По факту я ничего не должен, я не являюсь их сотрудником ни на каком уровне и не получаю зарплату. Как сказал Whuthering, есть разные уровни тех поддержки с переводом на старших специалистов, просто в данном случае это не является важным для них. Есть понятие вменяемости и оценки ситуации, сотрудник не засчитал это за ситуацию для уведомления старшего, следовательно это его вина. Я думаю каждый человек может понять что такое взлом и утечка данных и IT-квалификация здесь не требуется. Если работали бы такие в гос. структурах, у нас «ложных» эвакуаций не было бы.
                                          0
                                          Автор, а вы попробовали залезть в whois-записи домена? Может там какой более вменяемый контакт указан?
                                            +2
                                            Конечно, в большинстве случаев регистратором являемся автосалон, подробных контактов нет. Но при этом в базе указано 3 email, которые ссылаются на головной салон Хёнде (соответственно у дилеров нет доступа), на которые соответственно и были направлены сообщения, так же была добавлена почта отдела кадров.
                                            +1
                                            Когда уже за очевидные уязвимости, произошедшие по вине компании, начнут выписывать милионные штрафы? Мы доверяем им свои данные, покупаем товаров на миллионы, а они экономят на зарплате одного специалиста по безопасности.
                                              +1
                                              Где большие штрафы регулярно выписывают, там за данными блюдут лучше.
                                              У нас же пока основная проблема [и враг государства номер один] это Телеграм, а не компании с плохими политиками/процессами и безответственными разработчиками/админами.
                                              А вот если бы каждый мог подать в суд за разглашение данных с высоким шансом получить тысяч двести рублей за разглашение данных, то ситуация бы резко изменилась.
                                              Но увы, риск менеджмент пока что может этот сценарий игнорировать, как очень маловероятный.
                                              +1

                                              Интересно, каково с ИБ у АвтоВАЗа? Лидер продаж, представлен во всех регионах, то есть персональных данных должно быть много. Мне в начале 2016 года, то есть, через полгода после приобретения машины, звонили с коллцентра и интересовались насчёт впечатлений от машины, есть ли проблемы и т. д. Потом звонили ещё пару раз примерно с годичным интервалом, то есть, данных о клиентах должно быть немало.

                                                0
                                                Это разные уровни хранения данных, мало кто будет вести учет данных на сайте — это риски. для таких целей компании используют внутренние CRM/сервера, а камикадзе эксель) с учетом что многие любят не платить и используют opensource решения в жизни, в них самое правильное выгружать данные по API в CRM и сразу же удалять всю информацию
                                                +2
                                                Работал когда-то в ИТ-отделе автодилера (даже нескольких одновременно, т.к. владелец был один). В мои обязанности также входила поддержка веб-сайтов дилеров, они достались мне уже в наследство.

                                                Сами сайты были сделаны на opensource CMS, почта обратной связи, если не ошибаюсь, была настроена на маркетолога. Но, если туда попадали непонятные для маркетолога письма или запросы, она сразу приходила с этим к нам. Если звонили на ресепшн с подобным — тоже сразу переводили к нам. Персональные данные на самом сайте не хранились, все сразу уходило на почту РОПов, вся чувствительная информация была в 1С.
                                                WHOIS доменов был настроен на ИТ-отдел, туда ничего криминального за годы моей работы не приходило.

                                                Головные офисы бренда не особо «парились» насчет технической реализации и безопасности сайтов дилеров, им было главное чтобы контент отражал актуальные предложения и акции.
                                                  +1
                                                  Что еще вспомнилось: наример VAG имел свои внутренние глобальные ИС, и если там и были ПД, то вся работа в них шла только через VPN, у Автоваза про VPN не помню, но точно была работа по сертификатам. У GM даже не вспомню сейчас что было. Это к слову про защищенность данных в былые времена.
                                                  0

                                                  Питерские дилеры? Наглые конторы, заточенные под навязывание и чуть не обман посетителей, не брезгующих рассылкой спама после клятвенные заверений, что рассылок никогда не будет — и вы думаете, что вы через них решите ваши проблемы?

                                                    0

                                                    Вот поэтому я и ~~ненавижу ~~ не люблю иметь дела с людьми в поддержке, если бы подобным занималась автоматика, сообщения поддержки попадали бы куда надо. Даже тупой скрипт проверяющий сообщение на ключевые слова смог бы понять, что это сообщение надо переадресовать в IT отдел по безопасности и тп

                                                      0
                                                      Автор, зачем себе портить нервы? Лично я уже ничему не удивляюсь после описанного здесь, на хабре, случая со Steam'ом. Человек сообщал несколько раз о багах, а в ответ ему просто забанили акк, вместо выплаты багбаунти. Чему еще удивляться, после такого?

                                                      Рекомендую кейс: нашли баг => отправили вендору на е-маил => выждали необходимое количество дней (мораль, закон) => слили в паблик (на хабр или хакерские форумы) с пометкой о снятии с себя ответственности. И пусть заработают хакеры на этом, значит :)

                                                      Почему белошляпник должен бегать за компанией? Умолять, объяснять? Звонить 10 раз в колл-центр? Должно быть наоборот.
                                                        0

                                                        Я читал про историю того человека и Steam, но полноты картины ради опишу свой случай:


                                                        Заметил сеть бот-аккаунтов для фишинга, они использовали баг в предпросмотре ссылок на Steam Community сайте: обычно добавляется домен-цель (somelink [example.com]), а они видимо URL-Regex обошли (стало: somelink [.]) и пользовались этим для фишинга.


                                                        Из интереса, потратив пару часов смог воспроизвести их вариант и отписался на security@. Через полтора дня мне ответили, сначала видно я непонятно объяснил, но человек на том конце разобрался, и спустя 50 минут после его ответа фикс докатился до серверов в проде.


                                                        Насчет бежать и умолять — согласен. С тех пор репортил фишинг всеми возможными способами (регистраторы, хостинг, SSL cert issuer, Google Safebrowsing), по началу помогало, но самые банальные противодействия с "той" стороны помогли против "девочек-саппортов"; reg.ru откровенно пофиг на происходящее, а своё время мне тоже дорого. Дурака не убережёшь.

                                                        0
                                                        Рассылка по диллерам была 24-го января:
                                                        image

                                                        И это при том, что мы первые заметила данную особенность дилерских сайтов, о чем сообщили нескольким конкурентам и импортеру, включая конкретное лицо, занимающееся разработкой и сопровождением дилерской сборки. Но, как уже писали выше, всем срать.

                                                        image

                                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                        Самое читаемое