W
у них в прямо js`е на сайте админские доступы торчали... какие нахрен расследования могут быть
Size: a a a
2021 May 31
абажжи, про это будет следующее расследование.
dG
Так в расследовании ровно это и написано. Слил бывший сотрудник, у которого остались креды от стороннего сервиса рассылки
W
Правительно ли я понимаю, что всё расследование - это "у 10 рыл есть доступ, из них один уже не работает -> виновник найден"?
W
(Оставляя за скобками "был доступ после увольнения"...)
dG
Нет, они там айпишники глянули, с которых стучались, и нашли левые, география совпала с перемещениями подозреваемого
W
Айтишник решил чото посливать без впн? Хотя видя качество их айтишников...
dG
Ну типа да, он сливал с Питера, затем уехал в Приморье и продолжал оттуда
dG
Без анонимизации
dG
И после этого ему наликом через банкомат залили миллион на карту :D
W
Забавные
LN
они, иссесно, не работали :)
W
Не помню таких опровержений)
i
Нашли козла отпущения просто)
i
Объект для шейминга
W
Так и выглядит
LN
ну сразу же народ их пихал везде :)
LN
Инцидент с утечкой базы free.navalny.com банален, базы отовсюду воруют.
И, боюсь, для этого совсем не нужны никакие завербованные ФСБ инсайдеры.
Ведь пароль администратора Django-бекенда можно увидеть прямо в коде Next.JS-фронтенда.
P.S. Если что, пароль к админке сейчас не подходит, так что уже не уязвимость, но чёрт знает, кто успел воспользоваться.
И, боюсь, для этого совсем не нужны никакие завербованные ФСБ инсайдеры.
Ведь пароль администратора Django-бекенда можно увидеть прямо в коде Next.JS-фронтенда.
P.S. Если что, пароль к админке сейчас не подходит, так что уже не уязвимость, но чёрт знает, кто успел воспользоваться.
A
хороший метод фрейминга
W
Так "сейчас не подходит"