Comments 14
Понятие "тупит" решаемо (Elasticsearch, MongoDB, GraphQL — разные прослойки и уровни абстракции, сказано же что тут микросервисы, значит, что они не были прикрыты от DDoS стандартными срествами, которые есть в AWS, Azure и Google Cloud, что говорит о низкой квалификации не только программистов но и DevOps, хотя если это российская разработка, то возможно не использвались отечественные средства защиты в виде Яндекса, к примеру), но вот квалификация ребят, получившихз теплое местчко у кормушки в Татарстане, вызывает сомнение. Жаль, что я не поехал в "Иннополис", потому что выявление уязвиамостей в API — мое хобби со времен работы в Deloitte USA. Достаточно иметь один уязвимый эндпоинт с доступом к БД, чтобы скомпромитировать всю базу целиком, все фреймворки и тулинг для анализа уязвимостей давно существует (и не один и не два, тут дело вкуса, я не буду называть источники, но их действительно много, онлайн или в виде дистрибутивов). Другими словами, кроме проверки на SQL-Injection, к примеру, еще требуется настрока IDS, IPS, виртуальных образов, их группировки и правил межсетевой маршрутизации (обычно девелоперы на инстансе крутят бд, и его апи, как прописано в Dockerfile, а следует размещать на одной ВМ инстансы апи, а на другой — инстансы БД, и т.д.)
Ждем официального заявления властей о том, "что в утечку попали не персональные, а технические данные".
То есть они открыто называют Ашота и Боба злоумышленниками?
Интересно, те, кто отвечал за эту настройку, понесут наказание? И какое?
Обнаружена утечка персональных данных пользователей c сервера региональных госуслуг Татарстана