Как банки защищают ваши персональные данные — log.txt

    Всем добрый день.
    Поскольку от владельцев сервиса ответа в разумный промежуток времени не получено, пишу тут.
    Кратко суть и цель поста: log.txt — плохо. Не забывайте об этом и почаще(напр. прямо сейчас) проверяйте свои проекты.
    UPD 3: В старых версиях битрикса нашелся неприятный дефолт: bitrix/php_interface/(dbconn|init).php — константа LOG_FILENAME, которая как вы и догадались, приводит к описанным проблемам.

    Ссылочки: <убрано по совету НЛО>
    Картиночка: <убрано по совету НЛО>, раз и два
    В футере кнопочки уважаемых ADV и AIC, и не понятно, кто больше виноват(и не моя эта цель), по путям похоже, что всё-таки первые, при всём моём к ним уважении.

    Очевидные утверждения:
    • логи лучше писать через одну хм..., например, функцию
    • в специально предназначенной для этого папке
    • со специальным расширением или другими признаками для простоты и универсальности блокировки доступа через веб
    • ...


    И да, от метания помидоров вида *--*но прошу воздержаться, всё таки ничего критичного не слито, только имейлы ну и сикреты приложений для соцсетей.

    Вкратце, в логе были SQL запросы, которые исполнились с ошибками. Из логов можно было узнать некоторые параметры сайта (секретные части ключей для соцсетей), естественно, пути с трейсом ошибки, emailы пользователей и некоторая персональная информация(Имя/фамилия, чекворд для восстановления пароля), которая может быть использована для фишинга.

    UPD: 15:41 Ссылки убраны по настоятельному намёку НЛО.
    UPD 18:30 Новые картиночки
    UPD 3: dev.1c-bitrix.ru/api_help/main/functions/debug/addmessage2log.php
    Метки:
    Поделиться публикацией
    Комментарии 48
    • –28
      На хабр то зачем это писать? Есть же специализированные ресурсы :)
      • +12
        Здесь охват больше и, соответственно, напомнить о недопустимости подобного можно большему числу людей.
        Это и есть главная цель. Именно поэтому я всячески избегаю упоминания ТМ банка, он то тут наименее виноват…
        • 0
          > Именно поэтому я всячески избегаю упоминания ТМ банка

          Да, а то нам тут непонятно на чей ресурс ссылочка из вашего поста ведет :)
          • 0
            Ага =)
            Но что-то вида «какойтотамбанк не защищает ваши данные» не самый лучший заголовок.
    • 0
      Мда, хоть пароли не в открытом виде… Да и судя по дате и контенту — мало и старое.
      • 0
        в битриксе по умолчанию даже солится немного. А вот чекворды для сброса паролей нет, но на счастье их срок действия около неск. часов (по дефолту).
    • –7
      Заголовок нужно заменить на «Как банки НЕ защищают ваши персональные данные».
      • +5
        Нет, не думаю. Слишком желтые заголовки — не очень хорошо.
        • 0
          это понятно, но в статье речь не о желтизне, а о истином состояние вещей.
          этот лог файл много стоит, даже не хакер, а простой юзер может использовать социальную инженерию и десяток фишинговых схем, чтобы добиться не плохих результатов. Там куча открытых мейлов.
          • –1
            Если бы он действительно много стоил по моим оценкам, я бы заморочился, но уж не на хабр бы писал, а попытался добиться решения проблемы.
    • 0
      Да это же промо-страница на битриксе, там персональных данных нет.
      • 0
        хм. email. Информация о том, что возможно клиент банка. Чем не ПД.
    • +9
      Я правильно понимаю что тут сайт банка сделаный на bitrix?
      • –1
        Ну битрикс и битрикс. Не в битриксе проблема, а в руках всех уровней (от хостеров/сисадминов до разработчиков), которые «недоглядели». Ну и не сайт банка (который судя по всему ASP, и в худшем случае на netforge), а сайт одной фичи
    • –5
      Думаю что log.txt это просто тестовый лог, и скорее всего никаких реальных данных в нем нет, пот ому просто сброшен не в приватную папку. Обычно на сайтах реальные логи *.log
    • +3
    • –1
      А администрации сообщили?
      • 0
        Извините, вы пост читали?
        • 0
          Прошу прощения, пропустил видимо.
    • +24
      Без ссылочки и картиночки (которые были убраны из поста) совершенно неясна суть сообщения и его полезность.
      Можно было бы картинку оставить, но замазать чувствительные данные
      • 0
        в гуглокэше этой страницы все ссылки остались
        • 0
          кстати уже нет…
          • +4
            • 0
              Я говорил про оригинал, ну да ладно.
              • 0
                Ссылка, которая была в посте есть в выдаче. Но НЛО злое, поэтому не буду указывать на конкретное место, но это довольно очевидно. :))
                • 0
                  Я уже нашел по другому, поэтому вопрос снят.
      • 0
        поддерживаю, кому надо(что странно) тот найдёт.
    • 0
      Отписал своей подруге из АДВ на всякий случай.
      • 0
        Спасибо. Вы сделали даже больше чем я =)
    • +7
      Для большей маскировки надо вообще весь текст убрать и название файла, оставьте только слово «плохо.»
      • +2
        Пост в общем-то не про банки, а про log.txt.
        Набор для иронии:
        Как log.txt защищает ваши ПД? Плохо. Не берите на работу log.txt
      • +3
        ▉▉▉▉▉▉ добрый ▉▉▉.
        ▉▉▉▉ от ▉▉▉▉ ▉▉▉▉▉ ▉▉▉ в ▉▉▉▉▉▉ ▉▉▉ ▉▉▉▉▉▉ не ▉▉▉▉▉▉, ▉▉▉▉ тут.
        ▉▉▉ ▉▉ и ▉▉▉▉ ▉▉▉: ▉▉▉▉ — плохо. Не ▉▉▉ об ▉▉ и ▉▉▉ (напр. ▉▉▉ ▉▉▉▉) ▉▉▉ свои ▉▉▉▉.
    • +22
      Открыл пост, читаю: «это вырезали, то вырезали, log.txt — плохо». Может убрать этот пост, он уже не несет никакой пользы ни для кого в таком виде.
      • –3
        Не уберу я — уберёт НЛО (которое вроде чтит закон, хотя и не с нашей планеты)…
        • +2
          Вы бы хотя бы написали что тут было — сейчас это бесполезный набор байтов.
          • 0
            Добавил чуть подробностей.
        • +1
          Ну, если Вам не жалко кармы и рейтинга — можете оставить как есть. Но не забывайте, что есть ещё 2 выхода
          1. Добавить-таки картинку, но замазать адрес сайта и др. чувствительную информацию, оставив только общее понимание проблемы (ведь НЛО наверняка не нравилось именно наличие чувствительной информации в открытом виде, не замазанной)
          2. Убрать в черновики пост
          • 0
            Добавил.
    • НЛО прилетело и опубликовало эту надпись здесь
    • +4
      Пароль qwerty123 вам о чем-нибудь говорит? Пароль 123456 замечательный пароль. И если я ношу флэшку в кармане, это не значит, что я админ или менеджер.
    • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        ее просто НЛОфицировали до валидного содержания :D
    • 0
      Нужно добавить что:
      — это был не основное ядро сервиса, а дополнение
      — основанное на ядре Битрикс
      — в данный момент баг пофиксили
    • 0
      Лог файл оттуда уже убрали. Ни у кого не осталось копии, почитать перед сном?
    • 0
      Видел не так давно одну софтинку (уже не помню что за), там логи шифровались асимметричным алгоритмом, закрытый ключ — у разработчиков.
      • 0
        Можно использовать и консольный gnupg, только зачем? Если логи закрыть для учетки вебсервера, то их никто не прочтет, а если получат доступ к серверу, то логи не расшифруют (без закрытого ключа), но конфиги-то утянут, а они не зашифрованы. А по ним уже и получат нужные доступы.
        Пустая трата процессорного времени и ресурсов машины.

    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.