(les contacts sont cachés, mais le contexte reste, il s'agit d'une question générale, ne porte pas d'informations confidentielles et sert à valider la réalité des informations précisées ci-dessous par les employés de hyundai)Article 29, partie 4 de la Constitution de la Fédération de Russie «Chacun a le droit de rechercher, de recevoir, de transmettre, de produire et de diffuser librement des informations.» Mais même en dépit de cela, toute entreprise pour laquelle vous recevez des données considérera que vous les avez reçues illégalement et essaiera de traiter avec vous en utilisant des méthodes préliminaires.
Mais que se passe-t-il si l'entreprise elle-même fournit des données?
Bienvenue chez Hyundai Motor Manufacturing Rus.
Il y a quelques jours à peine, j'ai essayé de trouver des informations sur les quarts de travail dans une usine de Saint-Pétersbourg, en recherchant sur Google «Heures de travail des quarts Hyundai». J'ai trouvé des informations assez intéressantes, si vous allez sur le premier site d'un des concessionnaires, ce sera Laravel’s Whoops, qui contient naturellement un mot de passe et connectez-vous à partir de la base de données.
(modèle pour l'apparition de l'erreur *****. com / news / RAND)Mais que faire si l'erreur est typique et non une?
J'ai décidé de vérifier les sites des revendeurs, il y en a beaucoup sur le territoire de la Fédération de Russie, mais en 10 minutes j'ai reçu une liste de 20 sites à partir desquels je peux recevoir et effacer des données.
En tant que citoyen respectable, j'ai tout d'abord le matin
à midi , appelé la hotline et ils m'ont dit "hélas, nous ne pouvons pas vous aider, écrivez dans le formulaire de feedback". Interrogés sur le numéro de téléphone du service du personnel dans l'espoir qu'ils puissent me mettre en relation avec le chef du service informatique, ils ont répondu "envoyez un CV, ils vous contacteront".
Ok, alors appelez les revendeurs.
Après la sonnerie de 5 revendeurs, tout le monde a dit qu'il n'était pas intéressé, qu'il ne pouvait se connecter avec personne.
En réponse à mes paroles selon lesquelles il peut y avoir une fuite de données, il y a une excuse: "malheureusement, nous ne pouvons pas vous aider, écrire au courrier, décrire le problème, ils vous répondront à leur tour."
Les bases de données contiennent des questions sur les voitures, l'entretien et généralement toutes les questions. Il s'avère que n'importe quel concessionnaire peut faire glisser des applications ou que quelqu'un d'immigrants illégaux peut passer des appels et imposer des services, et c'est au mieux.
J'ai regardé le tableau des utilisateurs, seuls les contacts de @hyundai sont contenus, écrivant à l'e-mail et au service du personnel, après quelques heures il n'y a pas eu de réponse. J'espère que la manifestation publique leur donnera le feu vert pour l'édition et la désactivation des modes de débogage.
Conclusions
- Suivez les instructions du centre d'appels
- Désactiver le mode de débogage avant la production
- Quoi qu'il en soit, étudiez la documentation des frameworks, ce n'est pas pour rien que vous avez trouvé .env, où vous pouvez définir différents paramètres dans dev et prod, mais il vaut mieux le faire tout de suite avec des droits.
- Si vous êtes un gros, rappelez-vous Bug Bounty (au moins pour une boisson fraîche et
mousseuse ), commandez un contrat pour les erreurs, chefs de département - revérifiez les employés, et je souhaite que les employés se soucient.
Merci beaucoup d'avoir dépensé mon argent au téléphone, d'appeler, je veux fournir des informations importantes et ils me disent adios. Après cela, le désir d'aider augmente considérablement, mais pour soi.
Pour le moment, les données sont disponibles sur un certain nombre de sites de concessionnaires, le fabricant n'est pas intéressé à contacter. À plusieurs reprises, il les a écrites par courrier et a appelé les téléphones trouvés sur le réseau. Si quelqu'un a une relation plus chaleureuse et plus étroite avec cette organisation, dites-lui bonjour.Publié 48 heures plus tard à partir du dernier e-mail.