Компания Ростсельмаш сливает данные своих клиентов08.08.2022 19:16

2174cd2e72edc193197a69c0b1c0eae6.jpeg

Сегодня хочу поделиться своим мнением и опытом использования, сервисом картирования от компании Ростсельмаш.

Картирование

Картирование урожайности — это технология точного земледелия, призванная определить неоднородность главного из показателей — урожайности. С помощью специальных датчиков, установленных на комбайнах, а также бортовых компьютеров и приемников GPS в процессе уборки урожая можно получить пространственно ориентированные карты урожайности и влажности зерна.

Компания Ростсельмаш оборот 40.8 млрд рублей в год, сливает данные своих клиентов.

У компании есть сервис под название Agrotronic. Который позволяет отлеживать данные по картированию. Для того, чтобы пользоваться их сервисом нужно купить датчики на комбайны, стоимостью от 500 т.р. шт. Поставить их на комбайн и когда техника будет убирать урожай на полях, на сайте будет отображаться в какой части поля, какая урожайность.

Система предполагает, что Вы можешь видеть данные со своих убранных полей, для дальнейшего анализа.

Но к сожалению сервис обладает рядом критических ошибок, которые позволяют заходить на аккаунт крупных Агро предприятий, видеть всю информацию о движении техники, её состоянии, данные обо всех полях, где проходила уборка, что даёт нам информацию по урожаю и мноогое другое. Если ваша компания пользуется Agrotronic, значит любой человек, даже не авторизированный пользователь, может скачать ваши данные о предприятии в 2 клика.

Данную «уязвимость», я обнаружил пару дней назад. При авторизации, у меня получилось зайти в Dashbord по состоянию. Где можно найти следующую информацию:

27f69f754b38830dbd61245d702a5198.jpg

Данные о сервере:

880892d958c1c52fd0d5f6eefcbdb2b3.jpg

Самое интересное это активные сессии пользователей:

3e0f0669a8a17adb1397f95c0d4cb3fd.jpg

Где отображаются данные:

  1. Логин

  2. Фио

  3. Номер телефона

  4. API token

  5. Время посещения

  6. Можно с помощью одной кнопки разлогировать всех пользователей.

Интересно, что сервис не позволяет поменять пароль, и он ВСЕГДА совпадает с логином. Поэтому зная Ваш логин, знаем пароль.

Собственно с помощью этих данных, я и смог найти Админа сервиса и связался с ним по данным вопросам, почему их компания такое допустила, и когда это справиться, но ответа не получил.

7aabaf3443221e04178d2f1e08cf7926.jpg

Но на этом косяки не заканчиваются. Заходя в аккаунт, мы можем экспортировать свои поля и добавить технику. Что бы просматривать данные.

Но можно нарисовать геозону самому, на любом месте каком захотим. Выбираем область которая нам нужна, например Краснодарский край, где одна из самых больших урожайностей в стране.

f03883c265266a061b52c3f2b2f92c46.png

Добавляем, выбираем дату, и видим данные об урожайности по чужим полям. И можем скачать её .shp файлом.

9dfc38594962633b9d342a051d3dd6e0.pngДанное поле взято с сайта Агротроник.Данное поле взято с сайта Агротроник.

Итог:

Я не представляю, как компания с такими большими оборотами допустила такие ошибки. Но это не все косяки, о которых я рассказал, помимо этого существует ещё огромное количество багов. При том, что стоимость одного трекера может составлять пол миллиона рублей. С перспективой того, что конкуренты видят всю Вашу технику и урожайность.

© Habrahabr.ru