Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 23
как сказал Кевин Митник если вы в сети, то забудьте о безопасности
Внесенные изменения были сделаны реально действующим разработчиком, в то время как аккаунт w0rm просто поставил себе имя разработчика, чтобы сделать скрин и выдать желаемое за действительное.
администратор [Jira] просто забыл выключить регистрациюОтличный PR-шедевр PR-директора, на уровне отличной техподдержки йоты.
Можно для тугодумов?.. Нутром чую там фигню сморозили, а доказать не могу. Под вечер совсем тяжко переваривать ахинею.
Хакер не собирался ничего менять. Выложил сриншот коммита, чтобы показать, что у него есть (возможно, read-only) доступ к исходным кодам.
о спасибо, теперь понял)) дальше идет сказка о невероятных приключениях админа… не ну такое можно только у нас.
Дальше идет о том, что админ просто забыл отключить регистрацию новых пользователей на странице логина в Jira. Что просто дало злоумышленнику возможность получить исходные коды продуктов. Это не сказка, а банальная безалаберность и разгильдяйство.
В самой по себе утечке исходников я ничего плохого не вижу. Проблема в том, что на скриншоте виден фрагмент некого конфигурационного файла, а в дереве каталогов слева файлы с названиями типа
В самой по себе утечке исходников я ничего плохого не вижу. Проблема в том, что на скриншоте виден фрагмент некого конфигурационного файла, а в дереве каталогов слева файлы с названиями типа
db-migrate.sh и fill-db.sh. Не берусь утверждать, что был получен доступ к базам данным Yota, но все-таки пароли стоит сменить…Не, я не к тому что это не возможно, а к самому эпосу про раздолбайство.
Судя по простоте вписаных паролей, это не рабочий конфиг, а его заготовка, хотя пара нормальных паролей всё же есть. Даже если среди них есть пароли, реально использовавшиеся на тот момент в настоящей базе, не факт что у хакера был хоть какой-нибудь доступ к этой базе.
При чем тут пиар? Я считаю ничего страшного не произошло, подняли хайп из ничего.
На сайте автоваза была дыра: sql injection, возможно он ее и раскрутил.
security through obscurity — это плохо, пнятна? скорей всего просто думали что никто не найдет жировский URL/port
Судя по всему они не одни такие.
www.shodan.io/search?query=jira+country%3A%22RU%22
www.shodan.io/search?query=jira+country%3A%22RU%22
Хоть http-авторизацию повесили…
Прям один в один взлом fl.ru. Тогда неизвестный хакер тоже слил все исходники (а базу по его словам не стал сливать, т.к. слишком много весит) из-за неправильно настроенного тестового сервера.
Ну Yota хоть как-то отреагировала, а fl'овцы тогда ушли в глухую молчанку и делали вид, что ничего не происходит.
Повод задуматься: а в вашей компании что происходит с тестовыми серверами и рабочими репами? Они, случаем, не торчат наружу, доступные для всех желающих?
Ну Yota хоть как-то отреагировала, а fl'овцы тогда ушли в глухую молчанку и делали вид, что ничего не происходит.
Повод задуматься: а в вашей компании что происходит с тестовыми серверами и рабочими репами? Они, случаем, не торчат наружу, доступные для всех желающих?
Эх… вот почему нельзя просто извиниться за косяк? Почему нужно так уныло отмазываться?
дык, чо удивляться — не так давно где-то тут было кажется про торчащие наружу git-каталоги. вроде даже в т.ч. у самого яндекса тоже такую нашли :)
я пару лет назад сканил 1кк сайтов на открытые репозитории, около 10-20к сайтов нашел, включая несколько ОЧЕНЬ крупных :) правда за найденное обычно платили только мелкие фирмы, ни одного крупного игрока не заплатило :/
Были получены исходники 3300 глобальных интернет-проектов (2009)
https://habrahabr.ru/post/70330/
https://habrahabr.ru/post/70330/
Ждем исходников в свободном доступе, а затем статью от PVS-Studio «Проверяем Yota...» )
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Российский хакер опубликовал данные для доступа к исходным кодам сервисов Yota