Хабрахабр

[Из песочницы] Как Hyundai данные оберегал

(контакты скрыты, но контекст остался, он является общими вопросами, не несет конфиденциальную информацию и служит для валидации сотрудниками hyundai реальности информации указанной ниже)

4 Конституции Р.Ф. Статья 29, ч. Но даже несмотря на это, любая компания о которой вы получите данные будет считать, что вы получили их незаконным путем и будет пытаться разобраться с вами досудебными методами. – «Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию».

Но что делать в случае, если компания сама предоставляет данные?

Добро пожаловать в «Хендэ мотор мануфактуринг рус».
Буквально пару дней назад, я пробовал найти информацию о сменах на заводе в Санкт-Петербурге, загуглив «хендэ режим работы смен» нашлась довольно интересная информация, если перейти на первый сайт одного из дилеров то будет Whoops от Laravel, который естественно содержит в себе пароль и логин от базы данных.


(шаблон для появления ошибки *****.com/news/RAND)

Но что делать, если ошибка типовая и не одна?

Я решил проверить сайты дилеров, их довольно много на территории РФ, но за 10 минут получил список из 20 сайтов, от которых я могу получить и стереть данные.

Попросив телефона отдела кадров в надежде что там смогут связать меня с руководителем IT отдела, сказали «отправьте резюме, с вами свяжутся». Как добропорядочный гражданин я первым делом с утра в полдень, позвонил на горячую линию и мне сказали «увы, мы не можем вам помочь, напишите в форме обратной связи».

Окей, позвоним тогда дилерам.

После прозвона 5 дилеров, все сказали что им это не интересно, что связать ни с кем не могут.
В ответ на мои слова что может быть утечка данных, отговорка одна: «к сожалению мы ничем не можем вам помочь, пишите на почту, опишите проблему, вам ответят в порядке очереди».

Получается что любой из дилеров, может перетягивать заявки или кто-то из нелегалов может делать прозвоны и навязывать услуги и это в лучшем случае. В базах содержатся вопросы, про авто, обслуживание, да и в общем любые вопросы.

Надеюсь публичное проявление даст им зеленый свет на правку и отключение режимов отладки. Посмотрел таблицу users, содержатся контакты только от @hyundai, написав на электронную почту и в отдел кадров, спустя несколько часов ответа не поступило.

Выводы

  • Делайте инструкции для контакт-центров
  • Отключайте перед продакшеном режим отладки
  • Да и вообще, изучайте документацию фреймворков, не зря же придумали .env, где в dev и prod можно сделать разные настройки, а лучше делать сразу с привязкой к правам.
  • Если вы крупняк, помните про Bug Bounty (да хотя бы на прохладный пенный напиток), заказывайте подряд на поиск ошибок, руководители отделов — перепроверяйте сотрудников, а сотрудникам желаю — внимательности.

Так же огромное спасибо, что я трачу свои деньги на телефоне, звоню, хочу сообщить важную информацию и мне говорят адьос. После такого желание помогать резко возрастает, но себе.

Несколько раз писал им на почту и звонил по телефонам которые были найдены в сети. В данный момент данные доступны на ряде сайтов дилеров, производителю не интересно выходить на контакт. Если кто-то имеет более теплые и близкие отношения с данной организацией, передайте им привет.

Опубликовано спустя 48 часа с последнего email.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть