Причем тут, собственно Дуров, я так и не понял, почему client(functions.auth.RequestFirebaseSmsRequest(phone_number=<Телефон>,phone_code_hash=r.phone_code_hash)) создаёт клиент связанный именно с telegram firebase? Там вполне спокойно могут быть и любые другие креды и сильно изменённый клиент (ещё и обфусцированный), имена оставили такие же чтобы особо не копались, а как в статье - съели наживку.
Я так вижу что, теоретически, они могут хоть проксировать сам телеграм клиент. Те они берут номер телефона и вставляют его в свой клиент-прокси, он получает смс код, потом они отправляют нужные данные в клиент пользователя и ещё СМС (Россия - страна возможностей).
С учётом того что операторы блокируют смс с кодами telegram и Whatsapp то вполне вероятно что и они в этой схеме имеются.
Тем, что у них есть библиотеки а-ля vk_graph, а в PyPi её нет. И получается что если сторонний человек узнает названия внутренних библиотек, то он сможет начать атаку на цепочку поставки, зарегистрировав это название в PyPi. И какой-нибудь новый сотрудник без настроенных прокси уже скачает вредонос.
Я не понимаю претензий: как минимум человек потерял свой доход на нный период времени, и не просто так а из-за ХП, а моем представлении этого хватает чтобы получить возмещение ущерба (в виде потерянного дохода)
Причем тут, собственно Дуров, я так и не понял, почему client(functions.auth.RequestFirebaseSmsRequest(phone_number=<Телефон>,phone_code_hash=r.phone_code_hash)) создаёт клиент связанный именно с telegram firebase? Там вполне спокойно могут быть и любые другие креды и сильно изменённый клиент (ещё и обфусцированный), имена оставили такие же чтобы особо не копались, а как в статье - съели наживку.
Я так вижу что, теоретически, они могут хоть проксировать сам телеграм клиент. Те они берут номер телефона и вставляют его в свой клиент-прокси, он получает смс код, потом они отправляют нужные данные в клиент пользователя и ещё СМС (Россия - страна возможностей).
С учётом того что операторы блокируют смс с кодами telegram и Whatsapp то вполне вероятно что и они в этой схеме имеются.
И всё это ради дымовой завесы?
Всё хорошо, только в плане куда-то потерялись hh и хабр карьера
Это нейросеть пишет и отвечает?
Хорошая статья, если бы таких было бы больше хабр может даже перестал бы быть рекламно-саморекламно-неновостным ресурсом
А кто это плюсует?
Тем, что у них есть библиотеки а-ля vk_graph, а в PyPi её нет. И получается что если сторонний человек узнает названия внутренних библиотек, то он сможет начать атаку на цепочку поставки, зарегистрировав это название в PyPi. И какой-нибудь новый сотрудник без настроенных прокси уже скачает вредонос.
Понятное дело что проблема не так решается.
anynote selfhosted
Ну и у меня тоже есть интерес
Я не понимаю претензий: как минимум человек потерял свой доход на нный период времени, и не просто так а из-за ХП, а моем представлении этого хватает чтобы получить возмещение ущерба (в виде потерянного дохода)