Файлы сайта-открытки ВТБ в открытом доступе

    Залез сегодня на сайт Лебедева, сайты посмотреть какие он делает. Зашел потом на 20.vtb.ru — сайт открытка которую они делали в рамках 20-ти летия ВТБ. И на удивление обнаружил что помимо того что Лебедев делает сайты на Битриксе, папки движка еще и не закрыты.

    Обнаружились некоторые интересные моменты:
    Про раскрытие пути в принципе можно и не говорить (при попытке исполнить отдельные php-файлы)
    Fatal error: Call to undefined function IncludeModuleLangFile() in /u00/app/bitrix/Apache/htdocs/bitrix/modules/corp_events/include.php on line 4

    20.vtb.ru/bitrix/templates/als_vtb20/data.txt — поздравления и проклятия от клиентов ВТБ родному банку — встречаются смешные (например вариантов пешего эротического путешествия вследствии неадекватных процентов набралось аж 27 штук ;) )
    20.vtb.ru/bitrix/templates/als_vtb20/header.php_bk20101223_1837.txt — бекап php-файла за копирайтом Лебедева — если вдруг кому интересно как там код пишут
    20.vtb.ru/bitrix/modules/lol.webdavadm — интересно кто это туда залил?
    20.vtb.ru/bitrix/modules/security/admin/security_panel.php — незакрытый доступ в админку Битрикса.

    В принципе понятно что при создании сайта в дизайн-студии в первую очередь обсуждаются вопросы между дизайнером и копирайтером, а технологу остается по сути черновая работа… Но что мешало в .htaccess добавить что-то типа нижеприведенного я не понимаю.
    <FilesMatch "\.(inc|info|templates|modules|profile|po|sh|.*sql|theme|tpl(\.php)?|xtmpl|svn-base)$|^(code-style\.pl|Entries.*|Repository|Root|Tag|Template|all-wcprops|entries|format)$">
    Order allow,deny
    </FilesMatch>


    P.S. Cтоит отметить, что основной сайт VTB делала другая контора. И хотя тоже на Битриксе, но без косяков с открытыми папками как сайте-открытке:
    www.vtb.ru/bitrix/modules
    Метки:
    Поделиться публикацией
    Комментарии 117
    • –20
      а Вы, простите, в тех. поддержку ВТБ написали, перед тем как здесь запостить? ответа дождались?
      если нет+нет тогда нельзя так делать, о большой белый хакер.
      сперва надо предупреждать, если нету реакции или закрыли дырку — тогда постить уже.
      • +24
        А я бы как автор поста поступил )
        • –36
          вот будете автором, тогда так и поступите.
          автор этого топика сделал неправильно.
          • –12
            где написано, что это неправильно?
            • +25
              Вот найдёте подобную дырку — тогда и поступите так, как считаете нужным. А автор поступил так, как он считает нужным.
              • +5
                Что за стереотипный подход «сперва добейся сам»?

                Я был в ситуации, когда нашли дыру в моём сайте, и ей сначала воспользовались, потом сообщили «администрации проекта».
                Да, было обидно — на себя, за то, что не смог защитить данные и стыдно перед пользователями сервиса.

                Но такие люди, как автор поста делают хорошую работу — находят и не молчат.
                Пусть учатся быстро закрывать дыры.

                Тем более такие организации, как Банки, где нужно особенно тщательно блюсти репутацию.

                • +2
                  Действительно, получилось из разряда «сперва добейся».

                  Однако тон первого комментария был слишком категоричным, как на мой взгляд (издёвка «о белый хакер» тоже не добавляла ему привлекательности), что и повлекло за собой вполне ожидаемую реакцию.
              • +1
                Да как же, он запостил неумехам прямой how to как закрыть, и глядя по факту разработчики уже скопипастили решение и закрыли. Да ладно… отшлепать немного прилюдно таких монстров как ВТБ и Лебедва просто необходимо. Вот стартапчики обижать совестно, а таким надо хоть раз в год но давать публичную порку чтобы не зазнавались.
              • +11
                Когда у Вас будет свой сайт и его взломают и опубликуют инфу Вы по другому запоете :-)
                • +5
                  Сайт взломан не был по факту. Лишь раскрытие некоторой некритичной информации.
                  • –5
                    Однако уволить кого-то за это могут. А у него можеть быть дети некормленные
                • +2
                  Я вот когда-топоступил так же — написал об одном из багов в системе Приват24. К несчастью, то был мой первый топик на хабре (может и последний) и помимо многочисленных минусов пост вообще удалили. Вот так вот пиши после этого…
                  • +2
                    скорее всего причиной минусов стало то что ваш пост был не смешной
                • +29
                  Люди за это деньги получают. Странно делать работу за других.
                  • +10
                    я говорю предупредить, а не исправлять. и ничего страшного в этом нету.

                    этот комментарий заминусуют и не обоснуют, уверен.
                    • +10
                      Есть еще такие люди, как тестеры. Это их работа!
                      • +7
                        itspoma считает, что пользователи должны быть и тестерами: тестировать, замечать ошибки, отписывать в теподдержку, ждать ответа, принимать их ответ. Далее опять тестировать, слать обратный отчёт ждать ответа…
                      • +11
                        назло плюсанул, теперь мучайся в догадках
                      • +5
                        Да и Лебедев немало берёт к тому же…
                        • +6
                          Лебедев уже не тот!

                          Желтоват пост. Думаю, к утру выяснится, что сайт давно передан в поддержку, которой ВТБ занимается самостоятельно: www.artlebedev.ru/everything/support/.
                          • +1
                            так часто бывает, но кто останется крайним итак понятно )
                            • –2
                              По-хорошему, крайним должен оказаться автор поста: выложил «горячий» материал не разобравшись в вопросе.
                              • 0
                                Это ведь банковская структура. Тут такие бреши вообще недопустимы, кстати.
                            • –2
                              Проблем стоило ожидать.

                              Так и есть, менагеры из банка давно передали поддержку в другую контору,
                              паршивую контору, буквально, студию на три буквы
                              • 0
                                Можете еще раз высказать эту же мысль, но русским языком?
                                • –1
                                  Что вам не ясно?
                                  Я подтверждаю ваши догадки относительно непричастности студии Лебедева к поддержке этого проекта.

                                  Не нравится сленг — ваши проблемы!
                            • +2
                              Лебедев не палится

                              Артём; Сайт красивый…
                          • +35
                            хе =)
                            поясню немного:
                            обнаружил это еще в пятницу — написал в веб-форму «Задать вопрос» им
                            тогда же у себя на сайте разместил
                            сегодня от них ничего не пришло поэтому под вечер кинул сюда

                            а вообще с подобных дырок до чего-то, что любой скрипт-киддис сможет эксплуатировать, далеко поэтому в данном случае имхо особо вреда нету.

                            • –2
                              вот это одобряю, правильно сделал, молодец.

                              просто в посте ты забыл про это упомянуть.

                              вот у тебя есть свой сайт, и на нем есть неизвестные тебе уязвимости.
                              некий white-hat хакер находит их.
                              ты хочешь чтобы он сперва тебе сообщил про багу?
                              или чтобы сразу всему миру начал рассказывать и показывать?
                              уверен, что первое. потому что никто не хочет чтобы его сайт поимели.
                              • +5
                                просто поскольку запрос остался без ответа посчитал это несущественным моментом…

                                а насчет белых, серых, черных… можно долго дискутировать не тему кто есть лучше, имхо каждый останется при своем…

                                эра дефейсов по-моему уже прошла — сейчас из любой уязвимости постараются втихую выжать деньги — повесить свой скрипт на серве, рекламу или еще что-нить… так что имхо такое вот выкладывание общественности уже по сути проявление некой не меркантильной заботы что-ли… ;)
                                • –4
                                  ага, а еще никто не хочет, что бы его грязное белье и черные делишки показали всем, а тут викиликс, журналюги всякие дворцы фотографируют.
                              • 0
                                вы так говорите, как будто это что-то плохое
                                • +5
                                  А я считаю что подобные вещи должны освещаться.

                                  Нет, конечно, бывают разные ситуации. Молодая контора или сервис + молодой фрилансер. Жалко ребят, можно и написать им… помочь, так сказать.

                                  А вот когда такая пафосная «ни на чём» студия допускает за «такие деньги» такие косяки, можно и нужно отписывать. Чтоб либо губу закатали и пошли учиться, либо внимательнее работали в следующий раз.

                                  P.S. И неговорите мне что я злой и эгоистичный завистник ;)
                                  • 0
                                    Можно так делать, и нужно. Чтобы знали, суки, как за качество отвечать.
                                    • 0
                                      почему Вы считаете что автор должен куда-то писать перед тем как публиковать ссылки? автор никому ничего не должен. тем более необходимость писать в техподдержку сомнительна, откуда можно знать ошибочно открыт доступ к данным или это так задумано?
                                    • +12
                                      А никто не заметил, там когда открываешь сайт визитку в саом низу видео обращение. И вот самый первый стоп-кадр превьюшка, где этот важный дяд сидит на кресле и на заднем фоне 2 моника и ноут.
                                      Вот на левом мониторе очень похоже, что каскадом окно ошибки показано. Так что похоже в этом банке вообще с софтом не очень хорошо :-)
                                      • 0
                                        Наверное «пасхальное яйцо» от сисадмина)
                                        • +1
                                          да это он косынку разложил :))
                                        • +9
                                          Основной сайт тоже изначально в студии был сделан.
                                          Мне все-таки кажется, что выбор движка был продиктован условиями заказчика.
                                          • +4
                                            А сайт классный.
                                            • 0
                                              Ну всем свойственно ошибаться, человеческий фактор. Просто тут он проявился очень сильно.
                                              • +2
                                                Вы слишком гуманны. Это даже не ошибка. Они просто забили на такую «мелочь». Нечто подобное может допустить студент-фрилансер, для которого не существует понятия «рейтинг». Уважающая себя контора таких косяков позволять не должна.
                                                • +3
                                                  Для студента-фрилансера еще не существует понятие рейтинга. А для них, видимо, уже…
                                              • 0
                                                а можно насчет этого подробнее? ни разу честно говоря чтобы заказчик говорил делаем на этой CMS и только на ней — это если сайты с нуля, а не доработка того что уже сделано.
                                                • 0
                                                  упс, промахнулся… это ответ на этот коммент
                                                  • +1
                                                    А что странного? В крупных организациях есть IT- и PR-отделы, которые имеют свои представления о технологиях. IT — в плане долгосрочной технической поддержки, PR — в плане управления контентом и формирования аналитических отчетов. У вас, возможно, клиенты поменьше..?
                                                • +6
                                                  По первой ссылке куча куча поздравлений, но иногда и встречается что-то вида: «вкладчик; сосите хуй»… Интересно, это обращение ко вкладчику от ВТБ… или обращение вкладчика к ВТБ? :)
                                                  • +1
                                                    да ещё и IP-шки =) можно полопатить, не комментируют ли сами себя ))
                                                  • 0
                                                    А что за циферки после 127.0.0.1?
                                                    • +2
                                                      Время в формате Unix time
                                                    • +1
                                                      у меня только последняя ссылка открывается, закрыли уже?
                                                    • +13
                                                      Закрыли, отклик через хабр оказался быстрее прямых обращений =)
                                                      • +1
                                                        Очень знакомый .htaccess вы привели — Drupal?
                                                      • +2
                                                        И конечно же, никто не додумался сделать копии, да?
                                                      • 0
                                                        webcache.googleusercontent.com/search?q=cache:bRfD_oDfy3sJ:20.vtb.ru/bitrix/templates/als_vtb20/header.php_bk20101223_1837.txt+20.vtb.ru/bitrix/templates/als_vtb20/header.php_bk20101223_1837.txt&cd=1&hl=ru&ct=clnk&gl=ru&source=www.google.ru

                                                        ппц код…
                                                      • +4
                                                        Кого-то завтра премии лишат, а то и уволят.
                                                        • +2
                                                          Ага, заходит разработчик сайта на хабр и покрывается холодным потом :-)
                                                          • –1
                                                            Судя по тому, что файлы прикрыли — разработчик сайта уже в курсе.
                                                            Но у него ещё есть время придумать отмазку, пока Тёма в Норильске зимует.
                                                        • +10
                                                          требую угарных комментов
                                                        • –1
                                                          Должен сказать, сайт производит весьма сильное впечатление. Лебедев и Ко оторвались на славу.
                                                          • +12
                                                            пришел ответ от ВТБ:

                                                            Дмитрий, добрый день!

                                                            Благодарим за информацию о «дырке» на сайте 20.vtb.ru
                                                            Не ожидали мы такого низкого уровня безопасности
                                                            от такой много получающей за работу компании.

                                                            — с наилучшими пожеланиями, Василий Коцюба
                                                            • +4
                                                              Интересно кого они имеют ввиду, т.к. на сайте Лебедева написано, что сайт снят с поддержки в 2011.
                                                              • +1
                                                                Наверно Лебедев обиделся, что поддержку не продлили и дырок оставил :)
                                                                Да и косяки могли появится уже при создании сайта, так что ВТБ теперь будет думать у кого сайты заказывать)
                                                              • +3
                                                                Конечно, куда проще подставить вполне адекватного исполнителя, чем сознаться в полной некомпетентности.
                                                              • +18
                                                                Наверное, таких правдивых отзывов мы бы никогда не услышали, если бы не автор поста.

                                                                «Саша.; Уважаемое ВТБ24. У вас самый ебанутый и хуёвый сервис после Сбербанка. Одно прекращение платежей после 16:00 стоит того, чтобы с вами никогда больше не работать. Не говоря о платном всего насвете и херовым обслуживанием с очередями в ваших отделениях. Но всего краше — платное снятие денег в кассе отделения. Вы ебанаты. Это однозначно».
                                                                • +3
                                                                  надо вывесить этот файлик в паблик, в виде доски + комменты и рейтинг))))
                                                                  • 0
                                                                    Справделивости ради — почти во всех банках нал через кассу платный — заградительный тариф, направляют людей в банкоматы. Хотя конечно странностей у ВТБ24 хватает, в частности единственный известный мне платный инет-банк.
                                                                    • 0
                                                                      ВТБ — олигополисты все-таки, им почти все можно.
                                                                      • 0
                                                                        Не путайте большой ВТБ и розничный банк ВТБ24. ВТБ24 весьма далек от монопольного статуса.
                                                                    • 0
                                                                      Этот отзыв не единственный.

                                                                      «shlang; поменьше бы таких банков, как втб, которые кидают своих вкладчиков.
                                                                      Банк втб — кидала, наперсточник!;
                                                                      Вкладчик украинского ВТБ; Будьте внимательны!
                                                                      Банк ВТБ в Украине кинул вкладчиков, введя 27.10.10 г. задним числом 12% комиссию за пополнение депозита «Целевой» Обходите ВТБ десятой дорогой!
                                                                      ВТБ — напёрсточник-кидала!;»
                                                                      • 0
                                                                        Мне кажется, имеет смысл это распространить по сети, вместе со ссылкой на кэш. Страна должна знать своих героев!
                                                                    • 0
                                                                      выложите копию, кто успел сохранить
                                                                      • +8
                                                                        Надо принт такой себе заказать в офис

                                                                        ?><?
                                                                        ?> <?
                                                                        ?>Все права защищены © 2010 ВТБ
                                                                        <?
                                                                        ?>
                                                                        <?
                                                                        ?><?
                                                                        ?>
                                                                        <?
                                                                        ?>Сделано в Студии Артемия Лебедева<?
                                                                        ?><?
                                                                      • +3
                                                                        Шутки шутками, а в инет утекли айпишники клиентов банка.
                                                                        • +2
                                                                          db.ripe.net утекли айпишники пользователей интернета. Это на самом деле не велика потеря, тут ничего криминального нету… Там наты сплошные
                                                                        • +2
                                                                          Парни, у Битрикса в корневом .htaccess есть директива:
                                                                          Options -Indexes

                                                                          А в файле /bitrix/modules/.htaccess находится директива:
                                                                          Deny from all

                                                                          Очевидно, основной проблемой сайта является проблема некорректной настройки веб-сервера. Из-за чего и был получен листинг директории.
                                                                          • +3
                                                                            Nginx поставили, а то, что это не apache — забыли видимо :)
                                                                            • 0
                                                                              Очевидно за nginx там все-таки Apache:
                                                                              20.vtb.ru/bitrix/modules/

                                                                              Вот только у Apache для vhosts по умолчанию стоит AllowOverride none :) Скорее всего эта установка и была оставлена без внимания.

                                                                              Но вообще за включенную Options Indexes, наверное, надо яица отрывать на production-сервере — мало ли для чего оно может быть использовано.
                                                                          • +2
                                                                            Ну а что вы хотели от студии, у которой автоответчик на телефоне центрального офиса матерится? Если любите Лебедева, то не минусуйте, а позвоните и дослушайте до конца список прилагательных, которые зачитывает робот.
                                                                            • 0
                                                                              Сказал же — позвоните… Или объясните, почему такого уровня компании позволяют себе такое.
                                                                              • –2
                                                                                ты так говоришь, как будто бы это что-то плохое
                                                                              • +1
                                                                                хаха позвонил +7 495 926-18-00, там Лебедев жжот на автоответчике
                                                                                только почему-то без мата
                                                                                • +1
                                                                                  Это если в нерабочее время звонить.
                                                                                  Если в рабочее, то будет так: video.yandex.ru/users/o08/view/6
                                                                                  • 0
                                                                                    Только что позвонил — довольно милое приветствие, никакого мата.
                                                                                    • 0
                                                                                      Ближе к концу он таки говорит, что студия охуенная.
                                                                                      • 0
                                                                                        Так это Лебедев записал?
                                                                                • +1
                                                                                  поздравления и проклятия от клиентов ВТБ родному банку — встречаются смешные (например вариантов пешего эротического путешествия вследствии неадекватных процентов набралось аж 27 штук ;) )
                                                                                  Причем многие писали, видимо, не про ВТБ, а про ВТБ24, не понимая, что это два разных банка.
                                                                                  • +3
                                                                                    Ну так надо было догадаться так банки назвать! ВТБ1, ВТБ8, ВТБ42…
                                                                                  • +10
                                                                                    Лебедева уволят
                                                                                    • –2
                                                                                      За те деньги, которые он берёт, можно идеально всё сделать, ВТБ в своём репертуаре, деньги на ветер. К 20 летию делать сайт поздравительный и однозначно не за маленькие деньги, лучше бы людям ставки по ипотеке и софинансированию снизил, тьфу!
                                                                                      • 0
                                                                                        Только Навальному не говорите
                                                                                        • 0
                                                                                          С каких пор ВТБ стал заниматься ипотекой? Вы с ВТБ24 не путаете?
                                                                                          • +1
                                                                                            Разница? Всё равно воры и жулики :)
                                                                                            • 0
                                                                                              ВТБ24 дочерняя организация по отношению к ВТБ. следовательно утверждение верно.
                                                                                          • +4
                                                                                            >Даша; Ура, молодцы;127.0.0.1;;1287165363;;;
                                                                                            Ммм… сами себе положительный отзыв написали :)
                                                                                            • +6
                                                                                              Я представляю себе комментарии на аналогичном сайте ПриватБанка… украинцы поймут.
                                                                                              > ХУЙ; С днюхой ёбаные пидарасы!;127.0.0.1;;1291453668;2010-12-4 12-12-48;77.243.118.136;77.243.118.136
                                                                                              Это были бы поздравления от самих работников банка. А о клиентах я вообще молчу.
                                                                                                • +1
                                                                                                  В «ВТБ24» произошел масштабный Хабраэффект.
                                                                                                  • 0
                                                                                                    Я бы сказал, что это «Опять сбой»
                                                                                                    У них был сбой еще в конце февраля неслабый — деньги за кредит не списались в свое время. Пришлось ехать, писать заявление. Отзвонились о решении проблемы только через пару недель.

                                                                                                    Осталось смешанное впечатление
                                                                                                    • 0
                                                                                                      шо, опять?!!!
                                                                                                      • +2
                                                                                                        это точно уже не я
                                                                                                        ^_^

                                                                                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.