Как я обнаружил уязвимость раскрытия конфиденциальной информации у «Додо пиццы»02.04.2018 18:21

Сразу после обнаружения проблемы я написал письмо на почту техническому директору, адрес которой нашёл на официальном сайте dodois.com, а также Фёдору Овчинникову. Политика открытости компании позволяет это сделать. Часть проблемы уже решена, поэтому спокойно могу опубликовать свои любопытные находки — всё культурно и по этике.

Теперь к делу.

Случайно обнаружил уязвимость раскрытия конфиденциальной информации, несмотря на открытость компании во многих вопросах. Скорее всего, это внутренние данные, которые не должны видеть обычные пользователи, конкуренты и так далее.

Планирую делать ремонт на кухне, поэтому полез гуглить «чек-лист по ремонту на кухне». Второй результат в выдаче — доска пиццерии в Trello (популярный сервис для управления проектами) «Зеленокумск-1», где расписаны все задачи по подготовке и открытию заведения. Я не удержался и от любопытства посетил его (сейчас карточки уже закрыты).

Скриншот из выдачи Google, 4 февраля 2018 года

Мне стало интересно, почему у заведений «Додо пиццы» полностью открытые доски в Trello, где можно увидеть много конфиденциальной информации. Я решил посмотреть, что вообще есть в индексе Google из Trello-досок компании. Просмотрел только одну-две страницы и нашёл Зеленокумск, Алматы, Троицк (Московская область), Ухту, Петропавловск-Камчатский, Есик. Продолжать не стал — выдача на семь страниц.

Запрос site: с доменом и ключевым словом показывает все страницы, которые есть в индексе Google в рамках указанного домена и содержат искомое слово

Что можно увидеть в таких открытых Trello-досках

План и список всех задач по подготовке к открытию филиалов.

Лог действий по отметкам выполняемых задач (конкурентам очень удобно следить за прогрессом).

Подчёркнутый текст — ссылки на Google-документы

Документы в Google-таблицах с важной информацией, например, по анализу выбора помещения для открытия пиццерии или чек-лист по проверке пиццерии перед открытием. Документов было больше (да и сильно ковыряться не стал). Ссылки прилагать не буду, только скриншоты.

Более 900 пунктов
Шесть вкладок и множество пунктов с различными критериями и подходом к работе

Ссылки на старую базу знаний old.dodopizza.info. Например, сюда. Самое интересное, что домен old.dodopizza.info хоть и не индексируется, но при этом база знаний находится на устаревшей версии WordPress, который взломать проще, чем сервис, написанный на каком-нибудь фреймворке.

Проверили сайт на уязвимость, были такие результаты:
[+] WordPress version 4.4.4 (Released on 2016–06–21) identified from advanced fingerprinting, readme
[!] 34 vulnerabilities identified from the version number

Имена, фамилии, контакты участников досок в Trello, которые имеют доступ в сервисы «Додо пиццы». Скорее всего, далеко не у каждого суперсложный пароль.

Открытую доску в Trello бизнес-консультанта «Додо пиццы» по фрайнчайзингу.

Почему эта информация доступна

В Trello есть дурацкая возможность в настройках доски — по невнимательности можно сделать её «Публичной». Тогда она попадёт в индексацию Google — и всё. Многие не следили за этой настройкой и потом страдали.

Нужно делать вот так.

«Приватная» — там, где стоит галочка

Также не стоит открывать доступ к Google-документам по ссылке, так как она легко может попасть не в те руки. И автоподбором URL возможно открыть в том числе и ваши файлы.

У «Додо пиццы» очень классная политика открытости, и это позволяет завоёвывать сердца клиентов по всему миру. Но, скорее всего, открытость во внутренних процессах самих франчайзи, где светятся перечисленные выше вещи, и открытые возможности для уязвимости — это уже не очень.

Любопытно, что я полтора месяца назад написал письмо Фёдору Овчинникову и техническому директору, но ответа не последовало. Сегодня решил проверить — доступ по ссылкам закрыт, поэтому со спокойной душой решил опубликовать находку.

Ещё любопытно, что буквально накануне я заехал в «Додо пиццу» в Бишкеке и заказал себе сочный додстер и стакан кофе.

Мораль

  1. Будьте внимательней и следите за своей безопасностью и доступами.
  2. Trello — говно.

Из-за отсутствия настройки, которая делается за пару кликов, можно все внутренние задачи и файлы выставить на всеобщее обозрение. Мы, Peklo Studio, работаем с этим сервисом около года, но он всё равно не приживается и абсолютно неудобен для сотрудников, которые ведут несколько проектов, где для каждого проекта необходимо создавать отдельную доску.

Если будет интересно, я могу поделиться обзором сервиса, попытками его внедрения и фейлами при использовании. Планирую перейти на Basecamp для ведения работы по проектам агентства — что думаете? Какие ещё варианты?

#приёмная

©  vc.ru