Глава компании DansDeals.com Дэниел Илефф (Daniel Eleff), известный в сети просто под именем Дэн (Dan), поведал в блоге компании интересную историю, которая приключилась с ним в начале ноября.
Все началось с того, что Илефф пытался отремонтировать свой автомобиль Tesla, и с этим возникло множество проблем и задержек. Тогда он решил рассказать о своей ситуации на официальном форуме автопроизводителя, но после попытки редактирования весь его тред и написанное ранее сообщение в блоге полностью исчезли. Как оказалось, это произошло из-за того, что аккаунт Илеффа не был аккаунтом «владельца», а значит, он мог создавать только по одной теме в день.
Раздосадованный Илефф обратился в техническую поддержку по телефону с просьбой присвоить ему статус «владельца» авто на форумах. По словам Илеффа, оператор, с которым он говорил, понятия не имела, о каком форуме идет речь, и ему пришлось объяснять, что дело в forums.tesla.com. После этого оператор пообещала передать запрос Илеффа в IT-отдел.
Вскоре после этого Илефф заметил, что произошло нечто странное: у него появился не просто нормальный доступ к форуму, но и возможность редактировать, удалять и восстанавливать любые сообщения и темы. Вскоре все стало на свои места, когда наверху страницы обнаружилась панель администратора. Похоже, IT-отдел воспринял полученный запрос излишне буквально.
Илефф с удивлением обнаружил, что с таким доступом, открыв раздел People, он может просматривать личные данные всех полутора миллионов зарегистрированных на форумах человек. В блоге он рассказывает, что без труда нашел в базе своих соседей, тоже владеющих автомобилями Tesla и, похоже, даже аккаунт самого Маска.
Затем он обнаружил странные высоко привилегированные учетные записи, связанные с email-адресами, не имеющими отношения к Tesla (то есть без окончания @tesla.com).
Илефф внимательно изучил свои новые права, но не стал злоупотреблять полученным доступом и сообщил о произошедшей ошибке сотрудникам Tesla. В настоящее время представители компании уже подтвердили его слова и признали, что права администратора на официальных форумах ему попросту выдали по ошибке.
В Tesla Илеффа попросили добавить сообщение о проблеме через официальную bug bounty программу компании на Bug Crowd (заявка все еще на рассмотрении). Также представители Tesla заверили прессу, что провели тщательное расследование случившегося, и инцидент не затронул ничего, кроме форумов (основные сайты компании, «умные» системы машин Tesla и прочее не пострадали).
Что до странных привилегированных аккаунтов, без @tesla.com на конце, представители компании сообщили, что это были учетные записи бывших сотрудников, у которых теперь тоже отозвали доступ.
Читайте также
Последние новости