Bugtraq: Individ выпустил конфиденциальную информацию в интернет

Редакция Roem.ru не несет ответственности за материалы, размещенные в этом разделе читателями ресурса. Они добавляются через форму на сайте (//roem.ru/tip/), и могут быть опубликованы без предварительной модерации.

----------------------------------
Комментарий Roem.ru: сегодня на страницу, откуда можно было получить полный список сотрудников «Солвей Фарма» поставили пароль, вчера же можно было действительно получить эти данные, в том числе и в Excel.

----------------------------------

отсюда — community.livejournal.com/press_reliz/546884.html
«"Закрытый показ» нового корпоративного портала компании Solvay Pharma

Одна из ведущих веб-студий в России, компания Individ (16 место по рейтингу Tagline-2009 и 3-е место среди партнеров «1С-Битрикс»), выпустившая недавно книгу по веб-разработке в своей работе решила не следовать принципам из нее. Для компании Solvay Pharma (одна из крупнейших мировых фармацевтическая компаний. В настоящее время в компании работает порядка 9 600 сотрудников в разных странах мира. В 2008 году продажи компании Солвей Фарма составили 2,7 млрд Евро.) был разработан внутренний портал на базе продукта от компании «1С-Битрикс». Но внутренним он оказался только на словах. Стараниями вышеназванной компании в открытом доступе оказался весь портал, вся конфиденциальная информация — начиная от базы данных сотрудников (с адресами), заканчивая внутренней документацией и внутренними новостями компании. При этом на портале царит хаос — добрая половина ссылок не работает, огромное количество мусора в виде демоданных системы «1С-Битрикс: Корпоративный портал» — таков результат работы компании, сертифицированной по ISO 9001 (не будем вдаваться в подробности «особенностей сертификации» в Ярославле).

Отдельно хотели бы выразить благодарность за такую удобную функцию, как выгрузка базы пользователей в Exel, недоброжелателям это будет очень удобно, не надо отдельно копировать каждого из четырехсот сотрудников.

Не пользуйтесь услугами вышеназванной компании, учитесь на нашей ошибке."

Решил поискать где собственно утечка-то.
и… нашел! вот — www.1c-bitrix.ru/products/cms/projects/144299/
адрес «внутреннего» портала — 194.84.210.226:64003/.
как-то некрасиво и вправду.

Надеюсь скоро доступ закроют, скриншоты прилагаю.

http://s45.radikal.ru/i110/0906/43/8157d080257b.jpg
i012.radikal.ru/0906/c3/4395a58a02f5.jpg
действительно базу сотрудников удобно скачать
s49.radikal.ru/i123/0906/03/e237038ffad6.jpg

http://s61.radikal.ru/i171/0906/b7/1a1bc4f7b207.jpg

Добавить 11 комментариев

  • Ответить

    Раздолбаев везде хватает. Ответственного за такой фейл надо миниму штрафануть серьезно. А на месте подрядчиков я бы вообще вкатал неустойку огромную. Правда вряд ли они в договоре удосужились прописать пункт о конфиденциальности информации.

  • Ответить

    А разве проблема не в том, что кто-то из админов Фармы не закрыл снаружи интранет-портал? Собственно зачем ему вообще доступ из внешнего инета, а не корпоративной сети? ВПН и прочие методы попадания в интранет из интернета еще никто вроде не отменял.

  • Ответить
    Альтер Эго

    alfa, да, именно об этом речь! дело в том, что индивид не ограничил доступ для незарегистрированных пользователей (как это сделано сейчас уже, ни в один раздел нельзя зайти не залогинившись) + не ограничил доступ на скачивание материалов, базы пользователей и т. д. (всего того, что можно считать конфиденциальной информацией). В битриксе, насколько я знаю, это делается достаточно просто. Сюда же стоит добавить еще один явный косяк — публикацию адреса портала в интернете (http://s45.radikal.ru/i110/0906/43/8157d080257b.jpg; сейчас Слава Богу убрали). Врядли это можно назвать недосмотром, похоже на системный кризис — на всех этапах облажались. Радует одно — отсутствие судебной практики по подобным случаям в интернете:))

  • Ответить
    Альтер Эго

    Когда-то года два назад у меня был опыт общения с менеджерами Individ. На следующий день после переговоров этот менеджер перзвонил и предложил начать работать не с Individ, а с его своей собственной другой компанией.

  • Ответить

    Все внешние сайты для Солвея разрабатывала компания АЛП, причем вроде как довольно-таки успешно — корпоративный сайт, пожалуй — самый посещаемый сайт из сайтов фарм.компаний. Непонятно, почему вдруг Солвей решил метнуться к Individ’у?

  • Ответить
    Альтер Эго

    улыбнул комментарий http://community.livejournal.com/ru_cms/323113.html «это грязная антиреклама. Стандартная схема. Звонят в фирму, говорят: дайте денег, а то либо за DDos’им ваш сайт (т.е. много запросов на сайт и сервер не может обработать входящие запросы и виснет), либо забьем интернет по блогам и форумам антирекламой. Грязные, вонющие ничтожества. Убогие творческие импотенты, которые ничего создать не могут, а только разрушать.» :)