Comments 24
А почему это прошло код-ревью?
Почему тесты и тестировщики это не выловили?
По мне так выглядит как то, что либо виноват не только разраб, либо из разраба просто сделали козла отпущения.
Интересный кейс, кстати. Я давно думал вот о чем: А если бы код писал ИИ, кто понес бы ответственность?
Админ который задеплоил, больше концов не найти
Админ выполняет задачу, которая на него летит из разработки, и без аппрува ответственного лица согласно регалменту ничего катить не будет.
Некоторое время назад, в процессе обсуждения темы наподобие "управления ключами ssh" или типа того, выплыло, что сейчас модно чтобы 100500 разработчиков сами лазили в прод на сервера и сами накатывали обновления.
Собственно, поэтому им и нужен некий софт управления кучей ключей.
А не какой-то один админ, который без письменной отмашки ответственного лица ничего менять не будет.
Правда, потом начинаются отдельные нюансы, но кто же об этом заранее думает...
Интересный кейс, кстати. Я давно думал вот о чем: А если бы код писал ИИ, кто понес бы ответственность?
Тот, кто поместил код в прод, я так думаю. Ну и цепочка тех, кто одобрил. Пока ИИ напрямую никуда и ничего не... Хотя, мало ли больных на голову «энтузиастов».
А почему это прошло код-ревью?Почему тесты и тестировщики это не выловили?
Потому что код-ревью, это именно ревью, а не построчный анализ и валидация всех алгоритмов в ПР, коих может быть стопицот или даже стопицотдва. При должном старании можно что угодно замаскировать под нормальный код.
Удалено
Странно все, он удалил зашифрованные данные, но следователи все равно что-то нашли.Пожалел ноут и получил срок?
Их следователи могут запросить от гугла (и других) последние запросы и время входа в учетку. Да и браузеры тоже чего-то отправляют
Ну так он же скрипты свои в корпоративной сетке отдеплоил, там их и нашли.
Возможно, что он работал через корпоративную сеть (VPN?) и корпоративный же прокси, дальше анализ его переходов, что когда запрашивалось...
Это с реальной безопасностью может быть всё плохо, а с контролем и учётом всё как раз хорошо.
Позже следователи обнаружили на компьютере поисковые запросы
Вряд ли на компьютере. Скорее уж в истории гугла :)
Если предположить, что он всё-таки это сделал, меня поражает бессмысленность таких поступков. Какая польза для сотрудника ожидается от такого действия? Отомстить? Какой-то детский сад. Так как на момент совершения этого поступка уже понятна далеко ненулевая вероятность собственного набутыливания, не разумней ли обратиться в суд, если несправедливо уволили, либо просто встать на стол в последний день и всем средние пальцы показать, покричать, что думаешь о коллегах, ну и в туалете за собой не смыть.
на момент совершения этого поступка уже понятна далеко ненулевая вероятность собственного набутыливания,
А был бы помудрее — мог бы написать такой код, который можно было бы подать как типичную ошибку.
Преступники чаще всего - не умные люди. Отсюда и все эти истории типа "украл телефон и отнёс в ближайший ломбард", "заложил закладку при увольнении". Человеку с мозгами понятно, что совершать такое преступление нет смысла, оно будет быстро раскрыто.
Поэтому, когда мы видим тупое преступление, то ответ простой - оно тупое, потому что преступник тупой и ему в голову не пришло ничего умнее, чем отколоть вот такой тупой номер.
Боже. Какие сложности...
Видел неоднократно случаи непреднамеренного вредительства, когда сервис работает от имени админской учетки сотрудника. И этот сервис "неожиданно" вставал, когда сотрудник менял пароль или увольнялся (а учетка соответственно штатно блокировалась).
А тут явный злой умысел. Причем без особых вариантов скрыть кто его исполняет.
Было около полугода назад
https://habr.com/ru/news/889534/
Уточнился только срок заключения... Самоповтор?
Решил сделать свою собственную систему "Мёртвая рука" на минималках :) Но вообще тут правильно пишут, возможно не специально это было сделано, да и 4 года как-то многовато для такого
Разработчик получил 4 года тюрьмы за использование вредоносного ПО и создание аварийного выключателя в системах Eaton