Сегодня хочу поделиться своим мнением и опытом использования, сервисом картирования от компании Ростсельмаш.
Картирование
Картирование урожайности - это технология точного земледелия, призванная определить неоднородность главного из показателей - урожайности. С помощью специальных датчиков, установленных на комбайнах, а также бортовых компьютеров и приемников GPS в процессе уборки урожая можно получить пространственно ориентированные карты урожайности и влажности зерна.
Компания Ростсельмаш оборот 40.8 млрд рублей в год, сливает данные своих клиентов.
У компании есть сервис под название Agrotronic, который позволяет отслеживать данные по картированию. Для того чтобы пользоваться их сервисом, нужно купить датчики на комбайны стоимостью от 500 000 рублей за штуку. Когда техника убирает урожай на полях, на сайте отображаются данные по урожайности и тд.
Система предполагает, что Вы можете видеть данные со своих убранных полей для дальнейшего анализа.
Но, к сожалению, сервис обладает рядом критических ошибок, которые позволяют заходить на аккаунт крупных Агропредприятий, видеть всю информацию о движении их техники, её состоянии, данные обо всех полях, где проходила уборка и т.д. Это даёт нам информацию по урожаю и многое другое. Если ваша компания пользуется Agrotronic, значит любой человек, даже не авторизированный пользователь, может скачать ваши данные о предприятии в 2 клика.
Данную “уязвимость”, я обнаружил пару дней назад. При авторизации, у меня получилось зайти в Dashbord по состоянию. Где можно найти следующую информацию:
Данные о сервере:
Самое интересное - это активные сессии пользователей:
Где отображаются данные:
Логин
Фио
Номер телефона
API token
Время посещения
Можно с помощью одной кнопки разлогировать всех пользователей.
Интересно, что сервис не позволяет поменять пароль, и он ВСЕГДА совпадает с логином. Поэтому зная Ваш логин, знаем пароль.
Собственно, с помощью этих данных я и смог найти Админа сервиса, связался с ним по данным вопросам: почему их компания такое допустила, и когда это исправится, но ответа так и не получил.
Но на этом косяки не заканчиваются. Заходя в аккаунт, мы можем экспортировать свои поля и добавить технику. Что бы просматривать данные.
Но можно нарисовать геозону самому, на любом месте каком захотим. Выбираем область которая нам нужна, например Краснодарский край, где одна из самых больших урожайностей в стране.
Добавляем, выбираем дату, и видим данные об урожайности по чужим полям. И можем скачать её .shp файлом.
Итог:
Я не представляю, как компания с большими оборотами допустила такие ошибки. Однако это не все косяки о которых я рассказал, помимо этого существует ещё огромное количество багов. Напомню, что стоимость одного трекера может составлять пол миллиона рублей. И это, с перспективой того, что конкуренты могут увидеть всю Вашу технику и урожайность.
Комментарии (15)
bugkon
08.08.2022 22:18+7Есть неиллюзорная вероятность, что вместо исправления косяков, на автора этой статьи будет заведено дело.
NetBUG
08.08.2022 23:05А вы сразу написали сюда, или попытались поучаствовать в программе поиска уязвимостей от канадского вендора тракторов с советским названием?
Klyucherov Автор
08.08.2022 23:10+1Как видно по переписке, я сразу же предупредил админа сервиса об этой проблеме. Ответа никакого не получил, но в течении пары дней, баг с чужими сессиями был закрыт.
Однако сегодня появилась новая ошибка, связанна уже с самим картированием. О которой мы так же сообщили компании, но внятного ответа когда исправят её, не получили.
NetBUG
09.08.2022 00:38На будущее – у IT-компаний (не по признаку присутствия в реестре, а по сути бизнеса) обычно есть программа bug bounty – компания понимает, что все дырки предусмотреть невозможно, потери могут быть огромные, и готова платить какие-то деньги (реально какие-то – от сотни долларов до десятков тысяч, но обычно цена соответствует паре недель работы исследователя, сотни или несколько тысяч долларов) тому, кто их нашёл.
Обычно есть отдельный раздел на сайте вендора и либо чёткие условия (дыра в ядре – $20000, в загрузчике – 10000, в сайте – 2000, незапланированная перезагрузка устройства – столько-то), либо отдельный человек, который довольно оперативно отвечает
Klyucherov Автор
09.08.2022 00:49Интересно конечно, но не было задачи искать уязвимости, опять же, просто рассказываю печальный опыт эксплуатации сервиса.
Хотели покупать другую систему картирования. Но из за санкций, пришлось пользоваться российским аналогом.
Veratam
08.08.2022 23:13+2В данном случае вы получили несанкционированный доступ к компьютерной информации.
При этом, вместо того, чтобы сообщить администрации в стиле ответственного разглашения, вы задали пару упрекающих вопросов одному из их сотрудников, и после этого, выложили всю информацию в паблик.Klyucherov Автор
08.08.2022 23:25-1Несанкционированный доступ подразумевает получение доступа к закрытой от публики информации. Незаконными способами.
Однако данный дажборд был в открытом доступе. И при авторизации на свой аккаунт, через раз редиректило на эту страницу.
Действие проверялось не на одном компьютере. И даже в режиме инкогнито, туда можно было зайти. Просто вбив url страницы.
Данный пост выкладывается, как опыт эксплуатации, после исправления бага.
Veratam
08.08.2022 23:27+1К сожалению, это не верно. Когда вы переходите по скрытому URL, где доступна закрытая информация, вы получаете несанкционированный доступ. Даже если этот URL очень простой.
Klyucherov Автор
08.08.2022 23:32+1Получается и другие пользователи сервиса, получали «несанкционированный» доступ. Кто знает, что они могли делать с информацией. После того как я рассказал администратору сервиса, баг был закрыт.
Klyucherov Автор
08.08.2022 23:37+2Вопрос к компании, которая позволяет узнать персональные данные своих пользователей, по случайному редиректу.
Ivanhoe
09.08.2022 07:36
TsarS
Это что за датчики такие?
Кроме того, предусмотрено отображение данных другим Клиентам, чтобы те могли сравнить показатели мощности соответствующими параметрами их собственных машин. Анонимизированные данные невозможно отнести к конкретному Клиенту. При этом установление местоположения в определенном регионе также осуществляется без использования конкретных данных геолокации, позволяющих осуществить привязку к тому или иному лицу. Отдельное согласие Клиента для использования этих данных не требуется. Однако компания РОСТСЕЛЬМАШ предоставляет Клиенту возможность возражения против анонимизации новых данных для использования в других целях в любое время с действием в будущем. Для этого достаточно просто прислать электронное письмо на адрес agrotronic@oaorsm.ru с указанием ФИО, адреса и номера машины. Тем не менее, возражение против использования уже обезличенных данных невозможно, так как отслеживание Клиента исключается. https://agrotronic.rostselmash.com/doc/rights.html
Но, конечно, данные о клиентах с сессиями, именами и прочим - это нарушение, да
habr4yota
авто для агронома
vampire333
Скорее это некое подобие системы мониторинга этого трактора. Позволяет отследить, где сколько собрано, сколько топлива потрачено и т.д
Klyucherov Автор
Так и есть.