Как я обнаружил уязвимость раскрытия конфиденциальной информации у «Додо пиццы»
Сразу после обнаружения проблемы я написал письмо на почту техническому директору, адрес которой нашёл на официальном сайте dodois.com, а также Фёдору Овчинникову. Политика открытости компании позволяет это сделать. Часть проблемы уже решена, поэтому спокойно могу опубликовать свои любопытные находки — всё культурно и по этике.
Теперь к делу.
Случайно обнаружил уязвимость раскрытия конфиденциальной информации, несмотря на открытость компании во многих вопросах. Скорее всего, это внутренние данные, которые не должны видеть обычные пользователи, конкуренты и так далее.
Планирую делать ремонт на кухне, поэтому полез гуглить «чек-лист по ремонту на кухне». Второй результат в выдаче — доска пиццерии в Trello (популярный сервис для управления проектами) «Зеленокумск-1», где расписаны все задачи по подготовке и открытию заведения. Я не удержался и от любопытства посетил его (сейчас карточки уже закрыты).
Мне стало интересно, почему у заведений «Додо пиццы» полностью открытые доски в Trello, где можно увидеть много конфиденциальной информации. Я решил посмотреть, что вообще есть в индексе Google из Trello-досок компании. Просмотрел только одну-две страницы и нашёл Зеленокумск, Алматы, Троицк (Московская область), Ухту, Петропавловск-Камчатский, Есик. Продолжать не стал — выдача на семь страниц.
Что можно увидеть в таких открытых Trello-досках
План и список всех задач по подготовке к открытию филиалов.
Лог действий по отметкам выполняемых задач (конкурентам очень удобно следить за прогрессом).
Документы в Google-таблицах с важной информацией, например, по анализу выбора помещения для открытия пиццерии или чек-лист по проверке пиццерии перед открытием. Документов было больше (да и сильно ковыряться не стал). Ссылки прилагать не буду, только скриншоты.
Ссылки на старую базу знаний old.dodopizza.info. Например, сюда. Самое интересное, что домен old.dodopizza.info хоть и не индексируется, но при этом база знаний находится на устаревшей версии WordPress, который взломать проще, чем сервис, написанный на каком-нибудь фреймворке.
Проверили сайт на уязвимость, были такие результаты:
[+] WordPress version 4.4.4 (Released on 2016–06–21) identified from advanced fingerprinting, readme
[!] 34 vulnerabilities identified from the version number
Имена, фамилии, контакты участников досок в Trello, которые имеют доступ в сервисы «Додо пиццы». Скорее всего, далеко не у каждого суперсложный пароль.
Открытую доску в Trello бизнес-консультанта «Додо пиццы» по фрайнчайзингу.
Почему эта информация доступна
В Trello есть дурацкая возможность в настройках доски — по невнимательности можно сделать её «Публичной». Тогда она попадёт в индексацию Google — и всё. Многие не следили за этой настройкой и потом страдали.
Нужно делать вот так.
Также не стоит открывать доступ к Google-документам по ссылке, так как она легко может попасть не в те руки. И автоподбором URL возможно открыть в том числе и ваши файлы.
У «Додо пиццы» очень классная политика открытости, и это позволяет завоёвывать сердца клиентов по всему миру. Но, скорее всего, открытость во внутренних процессах самих франчайзи, где светятся перечисленные выше вещи, и открытые возможности для уязвимости — это уже не очень.
Любопытно, что я полтора месяца назад написал письмо Фёдору Овчинникову и техническому директору, но ответа не последовало. Сегодня решил проверить — доступ по ссылкам закрыт, поэтому со спокойной душой решил опубликовать находку.
Ещё любопытно, что буквально накануне я заехал в «Додо пиццу» в Бишкеке и заказал себе сочный додстер и стакан кофе.
Мораль
- Будьте внимательней и следите за своей безопасностью и доступами.
- Trello — говно.
Из-за отсутствия настройки, которая делается за пару кликов, можно все внутренние задачи и файлы выставить на всеобщее обозрение. Мы, Peklo Studio, работаем с этим сервисом около года, но он всё равно не приживается и абсолютно неудобен для сотрудников, которые ведут несколько проектов, где для каждого проекта необходимо создавать отдельную доску.
Если будет интересно, я могу поделиться обзором сервиса, попытками его внедрения и фейлами при использовании. Планирую перейти на Basecamp для ведения работы по проектам агентства — что думаете? Какие ещё варианты?
#приёмная
© vc.ru