Как Hyundai данные оберегал +84




(контакты скрыты, но контекст остался, он является общими вопросами, не несет конфиденциальную информацию и служит для валидации сотрудниками hyundai реальности информации указанной ниже)

Статья 29, ч.4 Конституции Р.Ф. – «Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию». Но даже несмотря на это, любая компания о которой вы получите данные будет считать, что вы получили их незаконным путем и будет пытаться разобраться с вами досудебными методами.

Но что делать в случае, если компания сама предоставляет данные?

Добро пожаловать в «Хендэ мотор мануфактуринг рус».

Буквально пару дней назад, я пробовал найти информацию о сменах на заводе в Санкт-Петербурге, загуглив «хендэ режим работы смен» нашлась довольно интересная информация, если перейти на первый сайт одного из дилеров то будет Whoops от Laravel, который естественно содержит в себе пароль и логин от базы данных.


(шаблон для появления ошибки *****.com/news/RAND)

Но что делать, если ошибка типовая и не одна?

Я решил проверить сайты дилеров, их довольно много на территории РФ, но за 10 минут получил список из 20 сайтов, от которых я могу получить и стереть данные.

Как добропорядочный гражданин я первым делом с утра в полдень, позвонил на горячую линию и мне сказали «увы, мы не можем вам помочь, напишите в форме обратной связи». Попросив телефона отдела кадров в надежде что там смогут связать меня с руководителем IT отдела, сказали «отправьте резюме, с вами свяжутся».

Окей, позвоним тогда дилерам.

После прозвона 5 дилеров, все сказали что им это не интересно, что связать ни с кем не могут.
В ответ на мои слова что может быть утечка данных, отговорка одна: «к сожалению мы ничем не можем вам помочь, пишите на почту, опишите проблему, вам ответят в порядке очереди».

В базах содержатся вопросы, про авто, обслуживание, да и в общем любые вопросы. Получается что любой из дилеров, может перетягивать заявки или кто-то из нелегалов может делать прозвоны и навязывать услуги и это в лучшем случае.

Посмотрел таблицу users, содержатся контакты только от @hyundai, написав на электронную почту и в отдел кадров, спустя несколько часов ответа не поступило. Надеюсь публичное проявление даст им зеленый свет на правку и отключение режимов отладки.

Выводы


  • Делайте инструкции для контакт-центров
  • Отключайте перед продакшеном режим отладки
  • Да и вообще, изучайте документацию фреймворков, не зря же придумали .env, где в dev и prod можно сделать разные настройки, а лучше делать сразу с привязкой к правам.
  • Если вы крупняк, помните про Bug Bounty (да хотя бы на прохладный пенный напиток), заказывайте подряд на поиск ошибок, руководители отделов — перепроверяйте сотрудников, а сотрудникам желаю — внимательности.

Так же огромное спасибо, что я трачу свои деньги на телефоне, звоню, хочу сообщить важную информацию и мне говорят адьос. После такого желание помогать резко возрастает, но себе.

В данный момент данные доступны на ряде сайтов дилеров, производителю не интересно выходить на контакт. Несколько раз писал им на почту и звонил по телефонам которые были найдены в сети. Если кто-то имеет более теплые и близкие отношения с данной организацией, передайте им привет.

Опубликовано спустя 48 часов с последнего email.




К сожалению, не доступен сервер mySQL