(контакты скрыты, но контекст остался, он является общими вопросами, не несет конфиденциальную информацию и служит для валидации сотрудниками hyundai реальности информации указанной ниже)
Статья 29, ч.4 Конституции Р.Ф. – «Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию». Но даже несмотря на это, любая компания о которой вы получите данные будет считать, что вы получили их незаконным путем и будет пытаться разобраться с вами досудебными методами.
Но что делать в случае, если компания сама предоставляет данные?
Добро пожаловать в «Хендэ мотор мануфактуринг рус».
Буквально пару дней назад, я пробовал найти информацию о сменах на заводе в Санкт-Петербурге, загуглив «хендэ режим работы смен» нашлась довольно интересная информация, если перейти на первый сайт одного из дилеров то будет Whoops от Laravel, который естественно содержит в себе пароль и логин от базы данных.
(шаблон для появления ошибки *****.com/news/RAND)
Но что делать, если ошибка типовая и не одна?
Я решил проверить сайты дилеров, их довольно много на территории РФ, но за 10 минут получил список из 20 сайтов, от которых я могу получить и стереть данные.
Как добропорядочный гражданин я первым делом с утра в полдень, позвонил на горячую линию и мне сказали «увы, мы не можем вам помочь, напишите в форме обратной связи». Попросив телефона отдела кадров в надежде что там смогут связать меня с руководителем IT отдела, сказали «отправьте резюме, с вами свяжутся».
Окей, позвоним тогда дилерам.
После прозвона 5 дилеров, все сказали что им это не интересно, что связать ни с кем не могут.
В ответ на мои слова что может быть утечка данных, отговорка одна: «к сожалению мы ничем не можем вам помочь, пишите на почту, опишите проблему, вам ответят в порядке очереди».
В базах содержатся вопросы, про авто, обслуживание, да и в общем любые вопросы. Получается что любой из дилеров, может перетягивать заявки или кто-то из нелегалов может делать прозвоны и навязывать услуги и это в лучшем случае.
Посмотрел таблицу users, содержатся контакты только от @hyundai, написав на электронную почту и в отдел кадров, спустя несколько часов ответа не поступило. Надеюсь публичное проявление даст им зеленый свет на правку и отключение режимов отладки.
Выводы
- Делайте инструкции для контакт-центров
- Отключайте перед продакшеном режим отладки
- Да и вообще, изучайте документацию фреймворков, не зря же придумали .env, где в dev и prod можно сделать разные настройки, а лучше делать сразу с привязкой к правам.
- Если вы крупняк, помните про Bug Bounty (да хотя бы на прохладный
пенныйнапиток), заказывайте подряд на поиск ошибок, руководители отделов — перепроверяйте сотрудников, а сотрудникам желаю — внимательности.
Так же огромное спасибо, что я трачу свои деньги на телефоне, звоню, хочу сообщить важную информацию и мне говорят адьос. После такого желание помогать резко возрастает, но себе.
В данный момент данные доступны на ряде сайтов дилеров, производителю не интересно выходить на контакт. Несколько раз писал им на почту и звонил по телефонам которые были найдены в сети. Если кто-то имеет более теплые и близкие отношения с данной организацией, передайте им привет.
Опубликовано спустя 48 часа с последнего email.
Автор: EproTM
