Pull to refresh

О безопасности и адекватности поддержки

Information Security
Если честно, не знаю в какую тему отнести этот пост, но мне кажется, что сюда.
Забегая вперед, скажу, что пишу пост с чистой совестью, т.к. уведомлял о рассказанном ниже администрацию blizko.ru за 2 недели до нового года по почте и за неделю 2 раза по телефону. Плюс еще раз позвонил сегодня.

Вернемся в начало и объясню, в чем дело. Есть некий информационно-поисковый ресурс blizko.ru
На нем можно найти довольно много компаний, предоставляющих те или иные услуги. Есть и страница просмотра контактов и другой информации о компаниях. Так вот на этой странице я увидел необычную ссылку "это моя компания":



Зарегистрировался, нажал эту ссылку и что я увидел? Да вот что:



Написал в тех поддержку о том, что у них, вероятно какая то ошибка. Не получил ответа до сих пор. Звонил им два раза. Первый раз мне ответили, что так оно и должно быть (Говорили, что проверяют вводимую информацию. Я на 5 дней менял телефон одной из компаний, но никто ничего не проверил), второй раз сказали, что разберутся.
Но вот до сих пор ничего не произошло. Любой зарегистрировавшийся может просто взять и присвоить себе компанию любого человека/организации.

Сегодня позвонил им еще раз. Напомнил о ситуации и сообщил, что собираюсь опубликовать об этой «фиче» статью на известном ресурсе. Мне прислали письмо следующего содержания:

Вся информация находится в открытом доступе сети Интернет является абсолютно бесплатной как для пользователей сайта, так и для создателей. За пять лет существования портала, мы не сталкивались с проблемой «Захвата» чужих карточек компаний, да и зачем? Ничего конфиденциального на них нет.

Вы можете привязаться только к той компании, которая не имеет пользователя, не более трёх компаний на один электронный адрес.
Любая компания падает на модерацию, и если в ней что-то изменено. При внесении «некорректной» информации компания не пройдет модерацию, и соответственно будет отклонена. При изменении телефона или адреса, информация отображается как корректная и компания дальше продолжает существовать на нашем портале.

Достоверность всех телефонов и адресов, к сожалению, проверить не представляется возможным.


Не имеет пользователя там почти все компании. А про «не более трех компаний на 1 электронный адрес» — никто не мешает мошеннику хоть 10 адресов завести.
Мало того, можно поменять телефоны и адреса, потом уже изменять данные о компании. Утверждать корректность будут уже у Вас (если только у них нет базы старых адресов, в чем можно усомниться).

Мораль.
Будьте осторожны при публикации информации о себе/своей организации на различных информационных сайтах. В данном случае рискуете просто стать жертвой мошеннических схем, связанных с подменой адресов и телефонов на сайте. А учитывая, что на данном сайте аккаунты имеют еще и платные версии, то рискуете потерять впустую еще и деньги.

p.s. Может массовый переход организаций к хабрапользователям послужит уроком администрации и тех. поддержке этой компании?
Tags:blizkoтех поддержкауязвимость
Hubs: Information Security
Total votes 80: ↑49 and ↓31 +18
Views599

Comments 48

Only those users with full accounts are able to leave comments. Log in, please.

Popular right now

Специалист тех поддержки Revizto (на англ. языке)
from 120,000 to 140,000 ₽VizerraМоскваRemote job
Security Engineer
from 2,000 to 5,000 $CoinLoanRemote job
Security engineer
to 170,000 ₽PleskНовосибирскRemote job
Преподаватель авторизованных курсов "Kaspersky"
from 80,000 to 160,000 ₽Центр компьютерного обучения СПЕЦИАЛИСТМоскваRemote job

Top of the last 24 hours