Столкнулся
недавно с компанией, предоставляющей Интернет и удалённое видеонаблюдение по Харькову.
У них есть свой сайт и ERP-система
управления ресурсами предприятием профиля «оператор связи». Завязан он на
субдомене:
https://my.имя сайта/operator/admin
Естественно, не
буду указывать адрес сайта и название данной фирмы.
В фирме произошёл
слив клиентской базы данной. То есть, их конкуренты, начали обзванивать всех их
клиентов и предлагать более выгодные условия предоставления Интернет и
видеомониторинга. Именно это и заставило данную фирму считать, что произошёл
слив клиентской информации конкурентам.
Итак, что меня
насторожило?
Узнав, что они
используют систему UserSide (http://wiki.userside.eu) для
управления своими клиентами и оказания технической поддержки на субдомене
сайта, решил проанализировать их сайт и взаимодействие ERP-системы для их операторов технической поддержки.
Просто заглянул в
карту сайта и в robots.txt. К своему ужасу, обнаружил в sitemap файле ссылку на админскую страницу входа
в систему UserSide:
https://my.имя сайта/operator/admin
Перейдя по этой
ссылке, попадаешь на страницу входа, где нужно ввести логин и пароль. Никакой
дополнительной капчи – не было.
Посмотрев файл robots.txt, обнаружил в нём запрет на сканирование этой самой страницы входа в админскую
часть.
Таким образом,
потенциальный злоумышленник, уровня «продвинутый» школьник, может найти «интересную»
страницу для входа в «закрытую» часть сайта без особых проблем. Дальше, необходимо узнать только
логин и пароль.
Ради интереса, в
качестве логина ввёл слово admin, а в качестве пароля, поставил 12345.
Не пустило.
Хорошо, заменил слово admin
на operator и оставил тот же
пароль и… Вот не поверите, но я попал на страницу управления клиентами,
расписанием запланированных работ, тарифами, акций, данными сотрудников и т.п…
То есть, что мы
имеем?
Смотрим в sitemap и robots.txt, обнаруживаем нужный урл и далее, при помощи логики, без использования
программ, подбираем в течении одной минуты пароль. Всё. Это может сделать любой
человек, который может пользоваться поиском Google и имеет немного общего представления о том, какие самые распространённые
логины и пароли бывают. Не нужно быть «крутым хакером» и обзаводиться «мега мощным»
софтом по поиску уязвимостей на сайте и часами пытаться что-то там взломать.
Далее, просмотрел
всю информацию в этой системе управления и ужаснулся. Под «защитой» пароля
12345 хранились конфиденциальные данные пользователей, а именно:
- Номер договора и число заключения.
- Адрес, по которому предоставляется Интернет и/или удалённое видеонаблюдение.
- Ф.И.О., место прописки, полная дата рождения, банковские реквизиты, того, на кого оформлен договор на услуги. На некоторых пользователей, были указаны данные паспорта (номер, серия, кем выдан) и номер идентификационного кода.
- История оплаты и способы оплаты. Были также номера электронных кошельков с которых происходила оплата.
- Номера телефонов клиентов (мобильные и городские) и контактная электронная почта.
- На некоторых клиентов, была указана информация о жене/муже и детях (количество, пол, Ф.И.О., дата рождения, номера телефонов, адрес прописки).
Примечательно,
что те клиенты, которые пользовались услугами удалённого видеомониторинга своих
объектов, также здесь «помечались». На них были указаны адреса где ведётся
видеонаблюдения, количество камер на «охраняемом» объекте, тип камер и схема
подключения/работы камер (прилагались планы объектов и расположение камер,
торговые марки, серийные номера, пароли от удалённого доступа к просмотру
архива видеомониторинга и данные к доступу видеонаблюдения в реальном режиме).
Также, здесь были
указаны все конфиденциальные данные сотрудников, их ежемесячный оклад, контактная
информация, график работы и срок их работы в данной компании. Также, здесь были
«ярлыки» на некоторых сотрудников, которые считались недобросовестными и
нарушающими общие правила компании.
Помимо этого,
здесь же хранились все планы информационных коммуникаций компании (где проходят
кабеля, где колодцы, муфты, коммуникаторы, опоры…), информация об оборудовании,
планы на будущее, данные о потенциальных клиентах и потенциальных конкурентах.
Не говорю уже о
статистике и огромного множества другой информации. Примечательно, что вся
хранимая информация, была собрана с 2008 года и постоянно обновлялась. Также,
данная компания не следит за регулярными обновлениями ПО и у них было
установлено UserSide 3.3 версии. На сайте данного софта, указано, что эта
версия вышла 12 января 2014 года. При этом, на этом же сайте, есть уже 3.12
версия, вышедшая 3 марта 2018 года.
Будет также
уместно сказать, что это, не сильно маленькая компания. У них клиентская база
состоит из двух тысяч человек и ещё 500 клиентов, которым предоставляется
удалённое видеонаблюдение.
Также, у них есть
ещё такая же контора в России и Польше. Там, они предоставляют услуги
видеомониторинга.
В заключении,
скажу, что та компания, так нечего и не предприняла до сих пор. Не изменила
даже пароль. Как по мне, это ужасно. Ведь достаточно получить доступ к этой
странице и злоумышленики смогут получить много персональных данных. А потом мы
удивляемся, что кто-то взломал камеры видеонаблюдения в больнице и продавал
удалённый доступ к камерам с гинекологического кабинета.
Как себя защитить
от таких недобросовестных компаний, которые совершенно не заботятся о защите
персональных данных своих клиентов? Пожалуй, ответ на этот вопрос, не такой и
простой. Со своей стороны, прошу вас, поделится в комментариях своим мнением по
данной ситуации и предложить способы защиты от таких вот горе кампаний.