Как я обнаружил уязвимость раскрытия конфиденциальной информации у «Додо пиццы»
Сразу после обнаружения проблемы я написал письмо на почту техническому директору, адрес которой нашёл на официальном сайте dodois.com, а также Фёдору Овчинникову. Политика открытости компании позволяет это сделать. Часть проблемы уже решена, поэтому спокойно могу опубликовать свои любопытные находки — всё культурно и по этике.
Теперь к делу.
Случайно обнаружил уязвимость раскрытия конфиденциальной информации, несмотря на открытость компании во многих вопросах. Скорее всего, это внутренние данные, которые не должны видеть обычные пользователи, конкуренты и так далее.
Планирую делать ремонт на кухне, поэтому полез гуглить «чек-лист по ремонту на кухне». Второй результат в выдаче — доска пиццерии в Trello (популярный сервис для управления проектами) «Зеленокумск-1», где расписаны все задачи по подготовке и открытию заведения. Я не удержался и от любопытства посетил его (сейчас карточки уже закрыты).
Мне стало интересно, почему у заведений «Додо пиццы» полностью открытые доски в Trello, где можно увидеть много конфиденциальной информации. Я решил посмотреть, что вообще есть в индексе Google из Trello-досок компании. Просмотрел только одну-две страницы и нашёл Зеленокумск, Алматы, Троицк (Московская область), Ухту, Петропавловск-Камчатский, Есик. Продолжать не стал — выдача на семь страниц.
Что можно увидеть в таких открытых Trello-досках
План и список всех задач по подготовке к открытию филиалов.
Лог действий по отметкам выполняемых задач (конкурентам очень удобно следить за прогрессом).
Документы в Google-таблицах с важной информацией, например, по анализу выбора помещения для открытия пиццерии или чек-лист по проверке пиццерии перед открытием. Документов было больше (да и сильно ковыряться не стал). Ссылки прилагать не буду, только скриншоты.
Ссылки на старую базу знаний old.dodopizza.info. Например, сюда. Самое интересное, что домен old.dodopizza.info хоть и не индексируется, но при этом база знаний находится на устаревшей версии WordPress, который взломать проще, чем сервис, написанный на каком-нибудь фреймворке.
Проверили сайт на уязвимость, были такие результаты:
[+] WordPress version 4.4.4 (Released on 2016–06–21) identified from advanced fingerprinting, readme
[!] 34 vulnerabilities identified from the version number
Имена, фамилии, контакты участников досок в Trello, которые имеют доступ в сервисы «Додо пиццы». Скорее всего, далеко не у каждого суперсложный пароль.
Открытую доску в Trello бизнес-консультанта «Додо пиццы» по фрайнчайзингу.
Почему эта информация доступна
В Trello есть дурацкая возможность в настройках доски — по невнимательности можно сделать её «Публичной». Тогда она попадёт в индексацию Google — и всё. Многие не следили за этой настройкой и потом страдали.
Нужно делать вот так.
Также не стоит открывать доступ к Google-документам по ссылке, так как она легко может попасть не в те руки. И автоподбором URL возможно открыть в том числе и ваши файлы.
У «Додо пиццы» очень классная политика открытости, и это позволяет завоёвывать сердца клиентов по всему миру. Но, скорее всего, открытость во внутренних процессах самих франчайзи, где светятся перечисленные выше вещи, и открытые возможности для уязвимости — это уже не очень.
Любопытно, что я полтора месяца назад написал письмо Фёдору Овчинникову и техническому директору, но ответа не последовало. Сегодня решил проверить — доступ по ссылкам закрыт, поэтому со спокойной душой решил опубликовать находку.
Ещё любопытно, что буквально накануне я заехал в «Додо пиццу» в Бишкеке и заказал себе сочный додстер и стакан кофе.
Мораль
- Будьте внимательней и следите за своей безопасностью и доступами.
- Trello — говно.
Из-за отсутствия настройки, которая делается за пару кликов, можно все внутренние задачи и файлы выставить на всеобщее обозрение. Мы, Peklo Studio, работаем с этим сервисом около года, но он всё равно не приживается и абсолютно неудобен для сотрудников, которые ведут несколько проектов, где для каждого проекта необходимо создавать отдельную доску.
Если будет интересно, я могу поделиться обзором сервиса, попытками его внедрения и фейлами при использовании. Планирую перейти на Basecamp для ведения работы по проектам агентства — что думаете? Какие ещё варианты?
Я так и знал
Слишком много внимания такой маленькой уязвимости. Написали бы «Если пометить доску как Публичная , то она останется в гугле.»
И не нужно клеймить сервисы !
Начинай свой день с новостей о Додо Пицца. Слава богу за ещё один день с Фёдором Овчинниковым.
На хабре ссаными тряпками закидали?) Или даже постить там не решились вот ЭТО?
Додо пиарится ?!
Комментарий удалён модератором
Уязвимость тут в чем? Кто-то из сотен франчайзи включил доступ по ссылке в документах?
Часть проблемы уже решена, поэтому спокойно могу опубликовать свои любопытные находки — все культурно и по этике :)
Типа скрины конфиденциальных документов не является нарушением чего-либо? И почему "спокойно", если по статье вам никто не ответил на письмо и не разрешил это делать в явном виде?
Их политика открытости позволяет это сделать
Писать можно и в компании с закрытыми политиками.
У Dodo Pizza очень классная политика открытости, и это позволяет завоевывать сердца клиентов по всему миру
Мммм, нет
А так вообще странно, что док для франчайзи не регулирует права доступа и настройки систем для работы