Блог / Как не подарить свою клиентскую базу

В связи с участившимися случаями мошенничества выкладываем инструкцию о том как не подарить свою клиентскую базу недобросовестному подрядчику. Вебхук в Битрикс24 это программный интерфейс, предназначенный для взаимодействия Битрикс24 с другими системами. При работе с вебхуками следует учитывать, что вебхук обладает всеми правами пользователя его создавшего и ограничивается только указанными для него разрешениями (scope).  Например:

  • пользователь имеет административные права
  • вебхук имеет scope “CRM”

В описанной ситуации через вебхук можно совершать в системе абсолютно любые действия над сущностями CRM.
Необдуманная настройка вебхука и передача его третьим лицам может повлечь за собой кражу ваших данных. Рассмотрим пример безопасного создания вебхука:

  • Создаем в системе нового пользователя;
  • В настройках доступа crm для созданного пользователя разрешаем только создание лидов. Сами настройки доступа можно найти по пути CRM -> Настройки -> Права -> Права доступа или по адресу https://адрес_вашего_битрикс24/crm/configs/perms/. Пример настройки прав:
  • Авторизуйтесь на портале от имени созданного пользователя;
  • Создайте вебхук в разделе Разработчикам -> Готовые сценарии -> Другое -> Входящий вебхук или по адресу https://адрес_вашего_битрикс24/devops/section/standard/
    При создании в разделе «Настройка прав» необходимо выбрать «crm»
  • Передайте адрес созданного вебхука подрядчику
    Вы создали безопасный вебхук - ничего кроме добавления лида через него сделать нельзя