Компания Ростсельмаш сливает данные своих клиентов +16


Сегодня хочу поделиться своим мнением и опытом использования, сервисом картирования от компании Ростсельмаш.

Картирование

Картирование урожайности - это технология точного земледелия, призванная определить неоднородность главного из показателей - урожайности. С помощью специальных датчиков, установленных на комбайнах, а также бортовых компьютеров и приемников GPS в процессе уборки урожая можно получить пространственно ориентированные карты урожайности и влажности зерна.

Компания Ростсельмаш оборот 40.8 млрд рублей в год, сливает данные своих клиентов.

У компании есть сервис под название Agrotronic, который позволяет отслеживать данные по картированию. Для того чтобы пользоваться их сервисом, нужно купить датчики на комбайны стоимостью от 500 000 рублей за штуку. Когда техника убирает урожай на полях, на сайте отображаются данные по урожайности и тд.

Система предполагает, что Вы можете видеть данные со своих убранных полей для дальнейшего анализа.

Но, к сожалению, сервис обладает рядом критических ошибок, которые позволяют заходить на аккаунт крупных Агропредприятий, видеть всю информацию о движении их техники, её состоянии, данные обо всех полях, где проходила уборка и т.д. Это даёт нам информацию по урожаю и многое другое. Если ваша компания пользуется Agrotronic, значит любой человек, даже не авторизированный пользователь, может скачать ваши данные о предприятии в 2 клика.

Данную “уязвимость”, я обнаружил пару дней назад. При авторизации, у меня получилось зайти в Dashbord по состоянию. Где можно найти следующую информацию:

Данные о сервере:

Самое интересное - это активные сессии пользователей:

Где отображаются данные:

  1. Логин

  2. Фио

  3. Номер телефона

  4. API token

  5. Время посещения

  6. Можно с помощью одной кнопки разлогировать всех пользователей.

Интересно, что сервис не позволяет поменять пароль, и он ВСЕГДА совпадает с логином. Поэтому зная Ваш логин, знаем пароль.

Собственно, с помощью этих данных я и смог найти Админа сервиса, связался с ним по данным вопросам: почему их компания такое допустила, и когда это исправится, но ответа так и не получил.

Но на этом косяки не заканчиваются. Заходя в аккаунт, мы можем экспортировать свои поля и добавить технику. Что бы просматривать данные.

Но можно нарисовать геозону самому, на любом месте каком захотим. Выбираем область которая нам нужна, например Краснодарский край, где одна из самых больших урожайностей в стране.

Добавляем, выбираем дату, и видим данные об урожайности по чужим полям. И можем скачать её .shp файлом.

Данное поле взято с сайта Агротроник.
Данное поле взято с сайта Агротроник.

Итог:

Я не представляю, как компания с большими оборотами допустила такие ошибки. Однако это не все косяки о которых я рассказал, помимо этого существует ещё огромное количество багов. Напомню, что стоимость одного трекера может составлять пол миллиона рублей. И это, с перспективой того, что конкуренты могут увидеть всю Вашу технику и урожайность.




Комментарии (15):

  1. TsarS
    /#24610222 / +5

    нужно купить датчики на комбайны, стоимостью от 500 т.р. шт

    Это что за датчики такие?

    и видим данные об урожайности по чужим полям

    Кроме того, предусмотрено отображение данных другим Клиентам, чтобы те могли сравнить показатели мощности соответствующими параметрами их собственных машин. Анонимизированные данные невозможно отнести к конкретному Клиенту. При этом установление местоположения в определенном регионе также осуществляется без использования конкретных данных геолокации, позволяющих осуществить привязку к тому или иному лицу. Отдельное согласие Клиента для использования этих данных не требуется. Однако компания РОСТСЕЛЬМАШ предоставляет Клиенту возможность возражения против анонимизации новых данных для использования в других целях в любое время с действием в будущем. Для этого достаточно просто прислать электронное письмо на адрес agrotronic@oaorsm.ru с указанием ФИО, адреса и номера машины. Тем не менее, возражение против использования уже обезличенных данных невозможно, так как отслеживание Клиента исключается. https://agrotronic.rostselmash.com/doc/rights.html

    Но, конечно, данные о клиентах с сессиями, именами и прочим - это нарушение, да

    • habr4yota
      /#24610498 / +3

      Это что за датчики такие?

      авто для агронома

    • vampire333
      /#24610804 / +2

      Скорее это некое подобие системы мониторинга этого трактора. Позволяет отследить, где сколько собрано, сколько топлива потрачено и т.д

  2. bugkon
    /#24610832 / +7

    Есть неиллюзорная вероятность, что вместо исправления косяков, на автора этой статьи будет заведено дело.

  3. NetBUG
    /#24610962

    А вы сразу написали сюда, или попытались поучаствовать в программе поиска уязвимостей от канадского вендора тракторов с советским названием?

    • Klyucherov
      /#24610972 / +1

      Как видно по переписке, я сразу же предупредил админа сервиса об этой проблеме. Ответа никакого не получил, но в течении пары дней, баг с чужими сессиями был закрыт.

      Однако сегодня появилась новая ошибка, связанна уже с самим картированием. О которой мы так же сообщили компании, но внятного ответа когда исправят её, не получили.

      • NetBUG
        /#24611152

        На будущее – у IT-компаний (не по признаку присутствия в реестре, а по сути бизнеса) обычно есть программа bug bounty – компания понимает, что все дырки предусмотреть невозможно, потери могут быть огромные, и готова платить какие-то деньги (реально какие-то – от сотни долларов до десятков тысяч, но обычно цена соответствует паре недель работы исследователя, сотни или несколько тысяч долларов) тому, кто их нашёл.

        Обычно есть отдельный раздел на сайте вендора и либо чёткие условия (дыра в ядре – $20000, в загрузчике – 10000, в сайте – 2000, незапланированная перезагрузка устройства – столько-то), либо отдельный человек, который довольно оперативно отвечает

        • Klyucherov
          /#24611170

          Интересно конечно, но не было задачи искать уязвимости, опять же, просто рассказываю печальный опыт эксплуатации сервиса.

          Хотели покупать другую систему картирования. Но из за санкций, пришлось пользоваться российским аналогом.

  4. Veratam
    /#24610992 / +2

    В данном случае вы получили несанкционированный доступ к компьютерной информации.

    При этом, вместо того, чтобы сообщить администрации в стиле ответственного разглашения, вы задали пару упрекающих вопросов одному из их сотрудников, и после этого, выложили всю информацию в паблик.

    • Klyucherov
      /#24611012 / -1

      Несанкционированный доступ подразумевает получение доступа к закрытой от публики информации. Незаконными способами.

      Однако данный дажборд был в открытом доступе. И при авторизации на свой аккаунт, через раз редиректило на эту страницу.

      Действие проверялось не на одном компьютере. И даже в режиме инкогнито, туда можно было зайти. Просто вбив url страницы. 

      Данный пост выкладывается, как опыт эксплуатации, после исправления бага.

      • Veratam
        /#24611022 / +1

        К сожалению, это не верно. Когда вы переходите по скрытому URL, где доступна закрытая информация, вы получаете несанкционированный доступ. Даже если этот URL очень простой.

        • Klyucherov
          /#24611032 / +1

          Получается и другие пользователи сервиса, получали «несанкционированный» доступ. Кто знает, что они могли делать с информацией. После того как я рассказал администратору сервиса, баг был закрыт.

          • Klyucherov
            /#24611038 / +2

            Вопрос к компании, которая позволяет узнать персональные данные своих пользователей, по случайному редиректу.

            • Ivanhoe
              /#24611508

              Ув. @Veratam хочет сказать, что так не принято. Нужно связаться с производителем по официальным каналам, максимально четко описать уязвимость, обсудить разумные сроки для исправления и возможное вознаграждение (но не рассчитвать на него по умолчанию). Поищите в интернете материалы типа этого.