(контакты скрыты, но контекст остался, он является общими вопросами, не несет конфиденциальную информацию и служит для валидации сотрудниками hyundai реальности информации указанной ниже)
Статья 29, ч.4 Конституции Р.Ф. – «Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию». Но даже несмотря на это, любая компания о которой вы получите данные будет считать, что вы получили их незаконным путем и будет пытаться разобраться с вами досудебными методами.
Но что делать в случае, если компания сама предоставляет данные?
Добро пожаловать в «Хендэ мотор мануфактуринг рус».
Буквально пару дней назад, я пробовал найти информацию о сменах на заводе в Санкт-Петербурге, загуглив «хендэ режим работы смен» нашлась довольно интересная информация, если перейти на первый сайт одного из дилеров то будет Whoops от Laravel, который естественно содержит в себе пароль и логин от базы данных.
(шаблон для появления ошибки *****.com/news/RAND)
Но что делать, если ошибка типовая и не одна?
Я решил проверить сайты дилеров, их довольно много на территории РФ, но за 10 минут получил список из 20 сайтов, от которых я могу получить и стереть данные.
Как добропорядочный гражданин я первым делом с утра
Окей, позвоним тогда дилерам.
После прозвона 5 дилеров, все сказали что им это не интересно, что связать ни с кем не могут.
В ответ на мои слова что может быть утечка данных, отговорка одна: «к сожалению мы ничем не можем вам помочь, пишите на почту, опишите проблему, вам ответят в порядке очереди».
В базах содержатся вопросы, про авто, обслуживание, да и в общем любые вопросы. Получается что любой из дилеров, может перетягивать заявки или кто-то из нелегалов может делать прозвоны и навязывать услуги и это в лучшем случае.
Посмотрел таблицу users, содержатся контакты только от @hyundai, написав на электронную почту и в отдел кадров, спустя несколько часов ответа не поступило. Надеюсь публичное проявление даст им зеленый свет на правку и отключение режимов отладки.
Выводы
- Делайте инструкции для контакт-центров
- Отключайте перед продакшеном режим отладки
- Да и вообще, изучайте документацию фреймворков, не зря же придумали .env, где в dev и prod можно сделать разные настройки, а лучше делать сразу с привязкой к правам.
- Если вы крупняк, помните про Bug Bounty (да хотя бы на прохладный
пенныйнапиток), заказывайте подряд на поиск ошибок, руководители отделов — перепроверяйте сотрудников, а сотрудникам желаю — внимательности.
Так же огромное спасибо, что я трачу свои деньги на телефоне, звоню, хочу сообщить важную информацию и мне говорят адьос. После такого желание помогать резко возрастает, но себе.
В данный момент данные доступны на ряде сайтов дилеров, производителю не интересно выходить на контакт. Несколько раз писал им на почту и звонил по телефонам которые были найдены в сети. Если кто-то имеет более теплые и близкие отношения с данной организацией, передайте им привет.
Опубликовано спустя 48 часов с последнего email.
kolu4iy
Когда меня динамили в российском представительстве киа "не знаю где ваша машина", я на ломаном английском написал корейцам. На следующий день у меня появился vin автомобиля в Корее, о чем мне сообщил удивленный российский менеджер по продажам. Резюме: в сложных случаях писать в головную компанию. Они заинтересованы в сохранении своего реноме.
Evgenym
Подтверждаю. Когда у жены начались качели, мол «а это не гарантийный случай», письмо в головную компанию решило все вопросы в течение пары дней.
arkamax
+1. В штатах местный дилер Subaru попытался взять с меня денег за перепрошивку аудиосистемы вне основной гарантии, несмотря на то, что она глючила с первого дня (просто фикса не было) — а у меня была еще и дополнительная гарантия от производителя, они просто не хотели по ней что-то делать. Один звонок в головной офис Subaru — и дилер бесплатно сделал всю работу, а от менеджера головного офиса прилетели извинения и подарочный купон на будущие регламентные работы. Domo arigato, все довольны (и менеджер в дилершипе теперь за руку здоровается).