Пять способов воровства данных из Битрикс24 и защита от них

В этом материале собраны случаи и методы, которые позволяют навредить Вашему бизнесу через воровство данных. Все пункты, кроме Albato, были в жизни.

Потратьте, пожалуйста, час-полтора на изучение, чтобы потом не тратить нервы и деньги на устранение последствий.

Если у Вас есть подрядчик по Битрикс24, то поделитесь материалом с ним.

• Неправильная выдача вебхуков;
• Потенциально опасные приложения;
• Раздача административных прав;
• Пересечение прав сотрудников на CRM;
• Передача учетных записей сотрудников.

Пример: 

Вы (администратор) выдали подрядчику вебхук с правами на CRM. Так как у Вас максимальные права в системе, то в разделе CRM можно читать, изменять, добавлять информацию и править настройки. Подрядчик используя знания языка программирования за один час полностью скопировал всю CRM себе и в режиме живого времени стал загружать новую информацию.

Список подозрительных запросов:

• crm.lead.list - чтение базы лидов по 50 лидов за раз
  
• crm.lead.get - чтение конкретного лида 
  
• crm.deal.list - чтение базы сделок по 50 сделок за раз
  
• crm.deal.get - чтение конкретной сделки
  
• crm.contact.list - чтение базы контактов по 50 сделок за раз
  
• crm.contact.get - чтение конкретного контакта
  
• batch - упаковка запросов, может содержать в себе 50 любых запросов, в том числе и запросов написанных выше
  

Решение:

• Перейти на передачу заявок через отправку данных на формы Битрикс24 (рекомендуемый);
• Выдавать вебхуки из-под специального пользователя.
  

Пример:

Для загрузки заявок от поставщика Вы установили приложение Albato. Данное приложение кроме отправки данных имеет все права на чтение. Этим воспользовался злоумышленник и прочитал всю CRM.

Сам по себе Albato отличный и безопасный сервис, который удобен для интеграции всего с всем. 

Список подозрительных запросов:

• crm.*.list - чтение базы по 50 элементов за раз
  
• crm.*.get - чтение конкретного элемента CRM
• batch - упаковка запросов, может содержать в себе 50 любых запросов, в том числе и запросов написанных выше
  
• Под * имеется ввиду любой раздел CRM

Решение:

• Использовать свой аккаунт Albato для интеграции и ограничить к нему доступ 3-х лиц; (рекомендуемый)
• Перейти на передачу заявок через отправку данных с Albato на формы Битрикс24;
• Перейти на передачу заявок через отправку данных с Albato на вебхуки из-под специального пользователя.
  

Пример:

Вы выдали сотруднику права администратора, чтобы он уж точно виде свои лиды. Сотрудник оказался нечист на руку и умён. Он стал экспортировать базу руками и удалять историю своих действий, чтобы потом никаких концов не найти.

Вы уехали на пару дней на конференцию. Хотите похвастаться перед коллегами как у Вас в Битрикс24 всё хорошо работает и ладно настроено, но войти в Битрикс24 не можете (пользователь удалён). Сотрудники трубку не берут. Прямо государственный переворот. А всё в дело в том, что выдали сотруднику права администратора, он Вас то и уволил. Пока вы спешно пытаетесь вернуть себе права на Битрикс24 через техническую поддержку уже всё будет сделано.

Решение:

Чем меньше администраторов на портале, тем лучше. Руководствуемся всегда минимумом возможных прав для сотрудников. 

• Вашим подчиненным точно не нужны права администратора, Битрикс24 достаточно гибко настраивается.
• Родственникам и соучредителям тоже права давать не стоит, так как может и не хотят они Вам чего-то плохого, но по простоте или незнанию могут натворить дел.

Пример:

1. Вы наняли сотрудника без указания отдела и права не выдавали. В Битрикс24 стоят какие-то преднастроенные права, их сотрудникам хватает и новому хватит. Он свои лиды видит и точка. А то что он ещё всю остальную CRM видит и править может, так это оно нам не интересно. Он, будь лаской, стал заявки коллег конкурентам сливать.
   
2. Вася Петров в подчинении у Оли Болтушкиной. Оля под подозрением и на время расследования Вы решили существенно урезать ей права. Выдали отдельные права в CRM, но место в структуре компании не поменяли. Почувствует ли Оля изменение в правах? (Правильный ответ: Отчасти) Права в Б24 наследуются от сотруднику к руководителю, у Оли будут такие же права что и у Васи.
   

Решение:

Корректно выстраивать структуру компании, проверять права у вновь прибывших и при настройке прав учитывать наследование.

Полезные статьи:

• Структура компании (2 минуты)
  
• Права и роли в CRM (2 минуты)
  

Пример 1:

Вы увольняете Петю и берёте на работу Васю. Притом пользователя для Васи Вы не создаёте, а он должен Петиного пользователя на себя переименовать. Чтобы сделки, лиды, дела, задачи на нового сотрудника не переводить, да и чтобы чаты мог старые Петя читать.

1. Петя не поменял пароль. Тогда Вася может с домашнего компьютера всё видеть, заходить под старой учёткой и, может быть, вредить.
   
2. Петя поменял пароль, но не удалил ключи доступа для приложений и календаря. Вася хоть с компьютера и не зайдёт в Битрикс24, но вот через приложение он всё прекрасно видит. В курсе дел своего бывшего работодателя.
   

Решение:

• Если передаёте учётную запись от увольняемого сотрудника на нового, то обязательно меняйте пароли на почте и в Битрикс24, а также отключайте все старые интеграции увольняемого сотрудника.
• Увольняйте сотрудника через Штрафбат, это позволит вам без риска перенести всё с увольняемого на нового сотрудника.

Полезные статьи:

• Пароли приложений (1 минута)

Пример 2:

Вы выдали свой логин и пароль от Битрикс24 подрядчику для проведения работ. После окончания работ пароль не был сменен. Подрядчик может заходить под вашими учетными данными и делать что захочет. 

Решение:

• Включить на портале для себя и сотрудников двухэтапную авторизацию.
  

Полезная статья: 

• Настройка двухэтапной авторизации (3 минуты)

Проверяем:

1. Вебхуки и приложения;
2. Экспорт данных;
3. Права и роли в CRM.

Результат:

• Отчёт по проверке;
• Рекомендации по снижению/исключению угроз;
• Если будет найдена критическая уязвимость бесплатно устраним.

Предлагаем Вам воспользоваться одной неделей демо-периода технической поддержки по тарифу "Оптима".

Что включено в тариф:

• Проверка безопасности
• Проверка работы сайтов/источников до 5 шт
• Проверка работы номеров телефонов и их заспамленность до 5 номеров
• Корректировки в настройки интеграций с источниками заявок
• Корректировки в роботы и бизнес-процессы
• Настройка прав в CRM
• Корректировка существующих шаблонов документов
• И многое другое

Узнать подробнее о демо-периоде, тарифах, формате работы и записаться на поддержку можно по форме ниже