Комментарии 17
Спасибо за отличную статью, как минимум появилось желание попробовать ваш сервис )
Прикол этого поезда на Шри-Ланке в том, что если смотреть вперёд, повышаются шансы встретиться со стенкой тоннеля
Самые любопытные суслики погибают от удара бампером в лоб ©
А вот туристы высовываются спиной и откидываются на руке, чтобы сделать селфи
Это особо высококонтагиозный штамм вируса туристического безумия виноват.
Что-то я понять не могу, куда всё же надо смотреть, чтобы шансы встретиться со стенкой выросли?
Кхм, читать голосом Дроздова:
Суслики - самые осторожные животные. Они становятся на задние лапки, и смотрят вдаль: не бежит ли лиса, не летит ли орел, не ползет ли змея? Самые бесстрашные получают бампером в лоб...
Интересно было бы увидеть весь список рисков и действий :)
Мы могли подсказать схемы чарджбеков через банки и платёжные системы, которые тогда ещё работали
Зря не подсказали, хотя некоторые банки потом списали чарджбеки назад и получилось даже хуже вранья авиакомпаний.
“мы сбросили им пароли на случай, чтобы не сопоставили с утечками”
Это какие такие пароли? И почему они у вас были?
От личного кабинета. У нас их не было, у пользователей они были. Пользователи часто используют одинаковые пароли для всего. Тогда было легко сопоставить базы утечек по почтам. У кого-то утекали прямо пароли.
Зачем хранить пароли от личного кабинета? А не хеши? А пользователи сами пусть решают, где что одинаковое, используйте соль.
" У кого-то утекали прямо пароли. " - ну так значит вы их хранили, вместо хешей, вот и утекали, а вы пишете, как будто это вина пользоавтеля.
Вот выше в комментарии же написано, "У нас их не было". Мы храним солёные хэши. Когда у вас общая почта в нашем ЛК и в том месте, где есть утечка, например, на сервисе доставки еды, ваш пароль оттуда (который они зачем-то хранили) можно попробовать с вашей же почтой у нас. Есть вероятность, что пароли будут одинаковые, потому что пользователи так делают довольно часто.
Как я понял, у вас случилась утечка и у какого-то другого сервиса тоже, но у вас хеши, а у них пароли. Вы же по доброте душевной скачали утечку другого сервиса, взяли оттуда почту и пароль, скоррелировали с почтой у вас, прохешировали пароли и сравнили с вашими хешами. И там, где хеши совпали, вы отписались пользователям. Но в чем тогда ваша мотивация это делать? Если с вашей утечкой все ок в плане паролей.
Не так. Мы просто сбросили пароли всем пользователям, предвидя такую угрозу. По сути, надо было сделать «я забыл пароль» на второй фактор аутентификации.
Как мы проходили кризисы 2020-2023 и как заранее готовились к ним