![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Не работать с мудаками том очередной
Jul. 25th, 2021 09:24 amИ так, продолжим тему с утечкой адресов электронной почты из проекта «Умное голосование» («УГ»). 👇
Как многие уже знают, день назад появился список адресов из Саратова. Это в дополнение к ранее выложенным московским и питерским адресам.
Кроме того, на Хабре вышла статья с описанием того, как эти адреса оказались в открытом доступе. Команда, поддерживающая проект «УГ», просто оставила в свободном доступе логи за 40 дней работы сервисов «УГ».
В ответ на это от команды «УГ» последовал ответ в традиционном для российского рынка стиле "вы все врете". Цитата: "если вы видите информацию о новых утечках из нашей базы данных, знайте, что это с высокой вероятностью обычный вброс." 😂
По нашей информации открытый сервер с логами был обнаружен в начале апреля, а команда «УГ» пишет, что они узнали про уязвимость и устранили ее только в июне: "пользователь заблаговременно с нами связался через саппорт месяц назад. Мы эскалировали проблему, устранили ее в первые же минуты после обнаружения".
Логи сервисов «УГ», которые находились в открытом доступе на сервере new.fbk.info более 2 месяцев, попали (по состоянию на 15 июня 2021) в кэш Google и частично доступны даже сейчас:
(прим. уже протухли)
🤦♂️ https://webcache.googleusercontent.com/search?q=cache:y0kWR9ZbczwJ:https://new.fbk.info/clusters/local/namespaces/staging/pods/ganimed-django-rq-685597bfd4-s5bb4/logs
🤦♂️ https://webcache.googleusercontent.com/search?q=cache:bB9-sWi6cVsJ:https://new.fbk.info/clusters/local/namespaces/staging/pods/ganimed-cronjob-1623738180-d8tw8/logs
Мораль
( Read more... )
Как многие уже знают, день назад появился список адресов из Саратова. Это в дополнение к ранее выложенным московским и питерским адресам.
Кроме того, на Хабре вышла статья с описанием того, как эти адреса оказались в открытом доступе. Команда, поддерживающая проект «УГ», просто оставила в свободном доступе логи за 40 дней работы сервисов «УГ».
В ответ на это от команды «УГ» последовал ответ в традиционном для российского рынка стиле "вы все врете". Цитата: "если вы видите информацию о новых утечках из нашей базы данных, знайте, что это с высокой вероятностью обычный вброс." 😂
По нашей информации открытый сервер с логами был обнаружен в начале апреля, а команда «УГ» пишет, что они узнали про уязвимость и устранили ее только в июне: "пользователь заблаговременно с нами связался через саппорт месяц назад. Мы эскалировали проблему, устранили ее в первые же минуты после обнаружения".
Логи сервисов «УГ», которые находились в открытом доступе на сервере new.fbk.info более 2 месяцев, попали (по состоянию на 15 июня 2021) в кэш Google и частично доступны даже сейчас:
(прим. уже протухли)
🤦♂️ https://webcache.googleusercontent.com/search?q=cache:y0kWR9ZbczwJ:https://new.fbk.info/clusters/local/namespaces/staging/pods/ganimed-django-rq-685597bfd4-s5bb4/logs
🤦♂️ https://webcache.googleusercontent.com/search?q=cache:bB9-sWi6cVsJ:https://new.fbk.info/clusters/local/namespaces/staging/pods/ganimed-cronjob-1623738180-d8tw8/logs
Мораль
( Read more... )
