Окей, давайте сделаем как в Спарте: если кто-то предлагал дельную идею, но обладал не самой лучшей репутаций, то выбирали достойного члена общества, чтобы тот повторил эту идею уже от своего имени.
Давайте я вместо CISA это ещё разок опубликую. Правда, я в молодости баловался взломами, а ещё я порой мочусь в раковину вместо унитаза, так что вы можете и к этому придраться.
Это не говоря уж о том, что взлом с целью закрыть уязвимость несколько отличается от слива данных. Мотивами.
Сторонников теории заговора о том, что это фейк ради уничтожения молодого китайского стартапа, ничто не убедит.
Ожидаемо, классическая ошибка "повесим на никому неизвестный домен и нестандартный порт, да кто ее найдет?". Ещё можно брутить не только домены и порты, но и, нащупав веб-сервер, пытаться по словарям искать всякие интересные каталоги. Например, /.git (привет Промтрансбанку).
Проблема вскрылась только при анализе данных из FARM (Field Accessible Reliability Metrics). Это продвинутая система мониторинга параметров диска, представленная Seagate в 2021 году, и с которой распространенные пользовательские утилиты, насколько я знаю, пока не работают (лишь некоторые фирменные от Seagate).
Давайте от противного: это не утечка, а выдумка, потому что ...? Ответ "у них не может быть утечки сразу после обретения популярности, совпадений не бывает" критики не выдерживает. Дыра может быть у любой компании и в любой момент.
С другой стороны, закрывать глаза на найденное орудие убийства, это путь к абсурду.
А если бы они в ходе обыска нашли у этого чувака, допустим, снятое им видео, на котором он запечатлел, как убивает свою жертву, нужно сказать "окей, мы не имели права его найти, будем делать вид, что мы ничего не видели, вот, держи носитель обратно, чувак, будем старательно изображать, что мы про тебя не знаем"?
Наоборот, не нужно, чтобы было видно, кто читает текст новости, а кто нет. Если человек бежит откомментить, прочитав только заголовок новости, то, например, для меня это флажок "можно просто скипнуть, нет смысла отвечать".
Они явно не представляли, в каком направлении его развивать. Уже шли разговоры, мол, а давайте туда добавим редактор hosts из PowerToys, нуачо, разработчикам же надо редактировать hosts, а PowerToys не все ставят. И опрос проводили, а каких ещё утилит туда запихать.
И мы вновь возвращаемся к той же проблеме приватности, только теперь она станет ещё острее. Одно дело, когда мои запросы читает далёкий китаец или американец, которого я не стыжусь, никогда не увижу и ему до меня дела нет, другое - когда мой сосед, который этот сервер администрирует, и с которым мне ещё потом за руку здороваться и в глаза глядеть (а ещё он, чего доброго, и донос напишет, увидев, как один из жителей спрашивает у ИИ что-то крамольное).
Как можно привязать свою карту к чужому устройству?
В оригинале написано иначе, это на Хабре почему-то поменяли. Не свою карту привязывают к устройству, управляемому мошенниками. А виртуальную карту мошенника обманутые граждане добавляют в свой аккаунт/эл. кошелёк платёжной системы Mir Pay. Дальше гражданину вешают лапшу о том, что эта карта - "безопасный счёт" и туда надо срочно перевести все свои сбережения.
Частота поломок не изменилась. Изменилась интенсивность нагнетания FUD в виде количества таких вот новостей.
Грубо говоря, если я начну постить такие вот ежемесячные новости про баги, допустим, в KDE (для чего всего-то нужно открыть багтрекер и ежемесячно отбирать пару-тройку свежих багов с наибольшим количеством отписавшихся) - у кого-то (как у вас) тоже сложится впечатление, что KDE уже не торт, начиная с этого года.
Зачем это делают журналисты - это другой вопрос. У меня есть смешная теория, что это отражение запроса читателей на такие новости. Читатели хотят видеть подтверждение того, что Windows 11 плоха, ну вот журналисты им и наваливают. То, что это всё иллюзия - а кого это волнует? Одни хотят, чтобы им наяривали, другие наяривают, все довольны.
Собственно количество комментариев к таким новостям это подтверждает.
А если та, то про бэкдор нужно умолчать?
Окей, давайте сделаем как в Спарте: если кто-то предлагал дельную идею, но обладал не самой лучшей репутаций, то выбирали достойного члена общества, чтобы тот повторил эту идею уже от своего имени.
Давайте я вместо CISA это ещё разок опубликую. Правда, я в молодости баловался взломами, а ещё я порой мочусь в раковину вместо унитаза, так что вы можете и к этому придраться.
Это не говоря уж о том, что взлом с целью закрыть уязвимость несколько отличается от слива данных. Мотивами.
Сторонников теории заговора о том, что это фейк ради уничтожения молодого китайского стартапа, ничто не убедит.
Ожидаемо, классическая ошибка "повесим на никому неизвестный домен и нестандартный порт, да кто ее найдет?". Ещё можно брутить не только домены и порты, но и, нащупав веб-сервер, пытаться по словарям искать всякие интересные каталоги. Например, /.git (привет Промтрансбанку).
Охрененный таргетинг. Но, мне кажется, добавлять пулемёт к автопилоту это плохая идея.
Номер телефона, возможно.
Владельцы многих серверов из-за наплыва спамеров включают в настройках допуск только тех участников, которые привязали номер телефона.
Давайте от противного: это не утечка, а выдумка, потому что ...? Ответ "у них не может быть утечки сразу после обретения популярности, совпадений не бывает" критики не выдерживает. Дыра может быть у любой компании и в любой момент.
А как, по-вашему, это могло быть сделано "более правильно"?
Исследователь должен растрезвонить журналистам, чтобы те успели проверить? Пока это происходит, кто-то ещё может наткнуться на базу и слить её.
У инженеров DeepSeek вообще нет выбора в этой ситуации: как только они узнали про дыру, они обязаны её тут же закрыть.
Мне просто интересно, какой вы предлагаете алгоритм действий, если в некоем сервисе обнаружена утечка.
С другой стороны, закрывать глаза на найденное орудие убийства, это путь к абсурду.
А если бы они в ходе обыска нашли у этого чувака, допустим, снятое им видео, на котором он запечатлел, как убивает свою жертву, нужно сказать "окей, мы не имели права его найти, будем делать вид, что мы ничего не видели, вот, держи носитель обратно, чувак, будем старательно изображать, что мы про тебя не знаем"?
Наоборот, не нужно, чтобы было видно, кто читает текст новости, а кто нет. Если человек бежит откомментить, прочитав только заголовок новости, то, например, для меня это флажок "можно просто скипнуть, нет смысла отвечать".
Не знаю, почему, но эту конструкцию так и хочется дополнить пулемётом.
Будет использоваться устройство по умолчанию, скорее всего.
Они явно не представляли, в каком направлении его развивать. Уже шли разговоры, мол, а давайте туда добавим редактор hosts из PowerToys, нуачо, разработчикам же надо редактировать hosts, а PowerToys не все ставят. И опрос проводили, а каких ещё утилит туда запихать.
Там нет никакой регистрации.
Просто устанавливаете Mir Pay, вводите данные карты, проверочный код из смс от банка и все.
И мы вновь возвращаемся к той же проблеме приватности, только теперь она станет ещё острее. Одно дело, когда мои запросы читает далёкий китаец или американец, которого я не стыжусь, никогда не увижу и ему до меня дела нет, другое - когда мой сосед, который этот сервер администрирует, и с которым мне ещё потом за руку здороваться и в глаза глядеть (а ещё он, чего доброго, и донос напишет, увидев, как один из жителей спрашивает у ИИ что-то крамольное).
И батареи будет хватать на целых 4 часа.
В оригинале написано иначе, это на Хабре почему-то поменяли. Не свою карту привязывают к устройству, управляемому мошенниками. А виртуальную карту мошенника обманутые граждане добавляют в свой аккаунт/эл. кошелёк платёжной системы Mir Pay. Дальше гражданину вешают лапшу о том, что эта карта - "безопасный счёт" и туда надо срочно перевести все свои сбережения.
Частота поломок не изменилась. Изменилась интенсивность нагнетания FUD в виде количества таких вот новостей.
Грубо говоря, если я начну постить такие вот ежемесячные новости про баги, допустим, в KDE (для чего всего-то нужно открыть багтрекер и ежемесячно отбирать пару-тройку свежих багов с наибольшим количеством отписавшихся) - у кого-то (как у вас) тоже сложится впечатление, что KDE уже не торт, начиная с этого года.
Зачем это делают журналисты - это другой вопрос. У меня есть смешная теория, что это отражение запроса читателей на такие новости. Читатели хотят видеть подтверждение того, что Windows 11 плоха, ну вот журналисты им и наваливают. То, что это всё иллюзия - а кого это волнует? Одни хотят, чтобы им наяривали, другие наяривают, все довольны.
Собственно количество комментариев к таким новостям это подтверждает.
Да, я удивлен. Ни одной из описанных проблем не наблюдаю.
То есть, это обычная ситуация "у пары пользователей такая-то проблема, у полутора другая".
Тупо регистрируется через гуглоаккаунт.
С рекомендуемым набором убирает.