1. Пролог
Останнім часом у ЗМІ все частіше стали з'являтися пестрі заголовки про різні викриття: починаючи від викладених у відкритий доступ фотографій знаменитостей, закінчуючи розкритими особистими поштовими скриньками великих діячів. Чого вже там говорити про повсякденні будні в якій-небудь рядовій компанії, коли співробітник використовує один і той же пароль для доступу до абсолютно всіх ресурсів.
Але сьогодні мова піде про менш яскраву подію для громадськості, але при цьому набагато більш резонансну для тих, хто волею доль працював і працює на fl.ru.
2. Критична вразливість в інформаційній безпеці fl.ru
Відразу до справи. Якщо ви ведете приватне листування зі співрозмовником і думаєте, що ніхто крім вас двох не має доступу до цього листування, то ви будете праві (принаймні зворотного ще не доведено). Але як тільки ви додасте до листування файл з текстовим змістом - будьте впевнені, що він потрапить в індекс пошукової системи Яндекс.
Можливо, сказане вище зовсім не порожнє, а фіча? Можливо, я просто мало що розумію у відкритих системах?
Вирішив провести аналіз можливих вузьких місць.
Для цього скористався «безпечною угодою», а якщо конкретно - трьома документами, які генеруються в результаті укладення цієї угоди:
- Угода
- Договір
- Технічне завдання
Ніхто не буде зі мною сперечатися, якщо я скажу, що всі 3 документи є суворо конфіденційними. Особливо «технічне завдання», оскільки в тілі документа вказана персональна інформація учасників угоди, а також вартість робіт.
Давайте спробуємо дізнатися, чи можна за допомогою Яндекса отримати доступ до технічних завдань безпечної угоди. Беремо з цього документа ключові слова: "Додаток No 1 до ОФЕРТЕ НА УКЛАДЕННЯ ДОГОВОРУ" "і додаємо операнд, що локалізує пошук виключно в рамках сайту fl.ru. У підсумку, пошуковий запит виходить такого змісту: "Додаток No 1 до ОФЕРТЕ НА УКЛАДЕННЯ ДОГОВОРУ site:fl.ru». Запускаємо, дивимося, насолоджуємося.
При бажанні можна написати краулер, який скачує техзавдання всіх безпечних угод і підраховує загальну суму угод. Я думаю, це тільки початок використання виявленої «діри».
3. Спроба спілкування з техпідтримкою
Окремим пунктом варто відзначити мої завзяті спроби донести весь жах ситуації до техпідтримки.
Нижче прикладаю скріншот нашого листування
Мало того, що співробітник служби підтримки полінувався самостійно відтворити помилку, так він ще наполегливо переконував мене в тому, у що сам, по всій видимості, не дуже охоче вірив.
4. Епілог
Сподіваюся, даний факт послужить хорошим уроком для співробітників усіх рівнів fl.ru: починаючи від тестувальників і техпідтримки, закінчуючи стейкхолдерами. Коли ваш проект набуває значних масштабів, то саме час подбати про інформаційну безпеку.
Я ж у всій цій історії відчув себе як головний герой у фільмі «Дурень», якому «більше всіх треба було» і якому ніхто не вірив.
Всім удачі.