{"id":14262,"url":"\/distributions\/14262\/click?bit=1&hash=8ff33b918bfe3f5206b0198c93dd25bdafcdc76b2eaa61d9664863bd76247e56","title":"\u041f\u0440\u0435\u0434\u043b\u043e\u0436\u0438\u0442\u0435 \u041c\u043e\u0441\u043a\u0432\u0435 \u0438\u043d\u043d\u043e\u0432\u0430\u0446\u0438\u044e \u0438 \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u0435 \u0434\u043e 1,5 \u043c\u043b\u043d \u0440\u0443\u0431\u043b\u0435\u0439","buttonText":"\u041f\u043e\u0434\u0440\u043e\u0431\u043d\u0435\u0435","imageUuid":"726c984a-5b07-5c75-81f7-6664571134e6"}

Как я обнаружил уязвимость раскрытия конфиденциальной информации у «Додо пиццы»

Сразу после обнаружения проблемы я написал письмо на почту техническому директору, адрес которой нашёл на официальном сайте dodois.com, а также Фёдору Овчинникову. Политика открытости компании позволяет это сделать. Часть проблемы уже решена, поэтому спокойно могу опубликовать свои любопытные находки — всё культурно и по этике.

Теперь к делу.

Случайно обнаружил уязвимость раскрытия конфиденциальной информации, несмотря на открытость компании во многих вопросах. Скорее всего, это внутренние данные, которые не должны видеть обычные пользователи, конкуренты и так далее.

Планирую делать ремонт на кухне, поэтому полез гуглить «чек-лист по ремонту на кухне». Второй результат в выдаче — доска пиццерии в Trello (популярный сервис для управления проектами) «Зеленокумск-1», где расписаны все задачи по подготовке и открытию заведения. Я не удержался и от любопытства посетил его (сейчас карточки уже закрыты).

Скриншот из выдачи Google, 4 февраля 2018 года

Мне стало интересно, почему у заведений «Додо пиццы» полностью открытые доски в Trello, где можно увидеть много конфиденциальной информации. Я решил посмотреть, что вообще есть в индексе Google из Trello-досок компании. Просмотрел только одну-две страницы и нашёл Зеленокумск, Алматы, Троицк (Московская область), Ухту, Петропавловск-Камчатский, Есик. Продолжать не стал — выдача на семь страниц.

Запрос site: с доменом и ключевым словом показывает все страницы, которые есть в индексе Google в рамках указанного домена и содержат искомое слово

Что можно увидеть в таких открытых Trello-досках

План и список всех задач по подготовке к открытию филиалов.

Лог действий по отметкам выполняемых задач (конкурентам очень удобно следить за прогрессом).

Подчёркнутый текст — ссылки на Google-документы

Документы в Google-таблицах с важной информацией, например, по анализу выбора помещения для открытия пиццерии или чек-лист по проверке пиццерии перед открытием. Документов было больше (да и сильно ковыряться не стал). Ссылки прилагать не буду, только скриншоты.

Более 900 пунктов
Шесть вкладок и множество пунктов с различными критериями и подходом к работе

Ссылки на старую базу знаний old.dodopizza.info. Например, сюда. Самое интересное, что домен old.dodopizza.info хоть и не индексируется, но при этом база знаний находится на устаревшей версии WordPress, который взломать проще, чем сервис, написанный на каком-нибудь фреймворке.

Проверили сайт на уязвимость, были такие результаты:
[+] WordPress version 4.4.4 (Released on 2016–06–21) identified from advanced fingerprinting, readme
[!] 34 vulnerabilities identified from the version number

Имена, фамилии, контакты участников досок в Trello, которые имеют доступ в сервисы «Додо пиццы». Скорее всего, далеко не у каждого суперсложный пароль.

Открытую доску в Trello бизнес-консультанта «Додо пиццы» по фрайнчайзингу.

Почему эта информация доступна

В Trello есть дурацкая возможность в настройках доски — по невнимательности можно сделать её «Публичной». Тогда она попадёт в индексацию Google — и всё. Многие не следили за этой настройкой и потом страдали.

Нужно делать вот так.

«Приватная» — там, где стоит галочка

Также не стоит открывать доступ к Google-документам по ссылке, так как она легко может попасть не в те руки. И автоподбором URL возможно открыть в том числе и ваши файлы.

У «Додо пиццы» очень классная политика открытости, и это позволяет завоёвывать сердца клиентов по всему миру. Но, скорее всего, открытость во внутренних процессах самих франчайзи, где светятся перечисленные выше вещи, и открытые возможности для уязвимости — это уже не очень.

Любопытно, что я полтора месяца назад написал письмо Фёдору Овчинникову и техническому директору, но ответа не последовало. Сегодня решил проверить — доступ по ссылкам закрыт, поэтому со спокойной душой решил опубликовать находку.

Ещё любопытно, что буквально накануне я заехал в «Додо пиццу» в Бишкеке и заказал себе сочный додстер и стакан кофе.

Мораль

  1. Будьте внимательней и следите за своей безопасностью и доступами.
  2. Trello — говно.

Из-за отсутствия настройки, которая делается за пару кликов, можно все внутренние задачи и файлы выставить на всеобщее обозрение. Мы, Peklo Studio, работаем с этим сервисом около года, но он всё равно не приживается и абсолютно неудобен для сотрудников, которые ведут несколько проектов, где для каждого проекта необходимо создавать отдельную доску.

Если будет интересно, я могу поделиться обзором сервиса, попытками его внедрения и фейлами при использовании. Планирую перейти на Basecamp для ведения работы по проектам агентства — что думаете? Какие ещё варианты?

0
11 комментариев
Написать комментарий...
Sergey Didenko

Я так и знал

Ответить
Развернуть ветку
Danny Belchenko

Слишком много внимания такой маленькой уязвимости. Написали бы «Если пометить доску как Публичная , то она останется в гугле.»
И не нужно клеймить сервисы !

Ответить
Развернуть ветку
О, я не из Англии...

Начинай свой день с новостей о Додо Пицца. Слава богу за ещё один день с Фёдором Овчинниковым.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Александр Рязанов

На хабре ссаными тряпками закидали?) Или даже постить там не решились вот ЭТО?

Ответить
Развернуть ветку
Phil Balita

Додо пиарится ?!

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
R1250GSA

Ага, а если подробнее - то:
«Додо Пицца» — международная сеть пиццерий. 1 из 167 находится в Бишкеке (Кыргызстан), и они — наш первый клиент. Сотрудничаем и растем с сентября 2016 года. Достигли классных результатов и посвятили нашему сотрудничеству целый блогпост.

Ответить
Развернуть ветку
Семен Смирнов

Уязвимость тут в чем? Кто-то из сотен франчайзи включил доступ по ссылке в документах?

Часть проблемы уже решена, поэтому спокойно могу опубликовать свои любопытные находки — все культурно и по этике :)

Типа скрины конфиденциальных документов не является нарушением чего-либо? И почему "спокойно", если по статье вам никто не ответил на письмо и не разрешил это делать в явном виде?

Их политика открытости позволяет это сделать

Писать можно и в компании с закрытыми политиками.

У Dodo Pizza очень классная политика открытости, и это позволяет завоевывать сердца клиентов по всему миру

Мммм, нет

А так вообще странно, что док для франчайзи не регулирует права доступа и настройки систем для работы

Ответить
Развернуть ветку
Roman Leonov
Автор

Уязвимость конфиденциальности очевидная — об этом и статья.

1. Эти упущения не со стороны франчайзи, а от самой компании: как по настройкам Trello, так и открытие гуглдоков по ссылке, которые легко найти благодаря фейлу с Трелло.

2. Спокойно потому, что Трелло-доски закрыли. Они пока еще есть в индексе Google, но публичность убрали.

Ответить
Развернуть ветку
spb sdc

полгода назад эту уязвимость еще обсуждали. че-т всем до фени, зато сколько драгоценной информации для маркетологов ваших конкурентов!

Ответить
Развернуть ветку
Иван Вундермахер

Бабок то дали? Нашёл данные компании с 15 офисами по всему миру, лучшеб дополнение и мануал написал, как не сесть на бутылку

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
8 комментариев
Раскрывать всегда