В вебхуке для вызова REST API и в адресе входящего вебхука всегда есть уникальный секретный код. В исходящем вебхуке также есть специальный секретный токен приложения. Они генерируются случайным образом при каждом создании вебхука:
Важно понимать, что секретные коды и токены ни в коем случае нельзя никому показывать, размещать в явном виде в коде страницы вашего сайта или скрипта. Также нужно пристально следить, чтобы эти коды не появились в открытом доступе при разработке интеграций на различных службах хостинга репозиториев и управления версиями – GitHub, BitBucket, SourceForge и др.
Эти секретные коды являются, своего рода, «паролем» для доступа к вашему Битрикс24. С их помощью можно читать, модифицировать и удалять данные Битрикс24 – например злоумышленник, зная секретный код или токен, может украсть базу данных CRM ваших клиентов или вообще ее удалить.
Блокировка скомпрометированных вебхуков
Согласно п.8.1 и п.10.5 Лицензионного соглашения с конечным пользователем и п.5.1 Поручения на обработку персональных данных, компания «1С-Битрикс» вправе без объяснения причин и какого-либо уведомления администратора Битрикс24 предпринять меры, выявляющие и предотвращающие несанкционированный доступ к Программе (1С-Битрикс24), а также информационно-вычислительным и сетевым ресурсам «1С-Битрикс».
При обнаружении секретного кода или токена вебхука в открытом доступе или несанкционированного доступа к Битрикс24 по этим кодам или токенам данный вебхук будет заблокирован. При обращении к заблокированному вебхуку или приложению будет выдаваться ошибка INVALID_CREDENTIALS или Invalid request credentials.
Что делать?
Если ваш вебхук или приложение были заблокированы, то для возобновления их работы, нужно заново сгенерировать секретный код или токен и внести изменения в свое приложение или интеграцию.
Для этого перейдите в раздел Разработчикам → Интеграции, найдите в списке свой вебхук или приложение и нажмите кнопку Перегенерировать, а потом сохраните изменения:
Секретные коды вебхуков и токены приложений, созданные другими пользователями, недоступны даже администратору. Если пользователь отредактирует чужой вебхук, то секретный код будет сброшен и владельцем этого вебхука станет тот, кто редактировал вебхук.