Хакер опубликовал логин и пароль к системе с исходными кодами Yota Статьи редакции
Русскоязычный хакер под ником w0rm опубликовал у себя в Твиттере ссылку с логином и паролем ко внутренней системе хранения исходного кода компании Yota.
Проверка TJ показала, что доступ рабочий: по ссылке находится Jira, в которой содержится более 30 активных репозиториев с исходными кодами различных сервисов и программ, включая приложения Yota для iOS и Android. В некоторых конфигурационных файлах хранятся незашифрованные администраторские пароли (от чего, неизвестно).
В беседе с TJ w0rm заявил, что «администратор [Jira] просто забыл выключить регистрацию».
PR-директор Yota Лина Удовенко сообщила TJ, что в компании начали разбираться в ситуации и собираются отключить все сторонние доступы. До публикации статьи логин и пароль w0rm находились в открытом доступе как минимум два часа. Около 17:55 доступ к FishEye (трекеру изменений кода в Jira) был закрыт.
Судя по активности внутри Jira, w0rm изменил несколько исходных файлов — в одних удалил строки кода, в других добавил, а доступ внутрь системы получил как минимум в 10 вечера 4 февраля. Суть и причины своих действий он не пояснил.
Yota уделяет большое внимание безопасности и сохранности данных. Судя по опубликованной информации, аккаунт w0rm получил доступ к тестовой среде вспомогательных систем модемного продукта. Эта система никак не связана ни с биллингом, ни с персональными данными клиентов Yota, ни с какими-либо другими данными, влияющими на безопасность и работоспособность систем. Причём пользователь, несмотря на свои заявления, не вносил никаких изменений в код.
Внесенные изменения были сделаны реально действующим разработчиком, в то время как аккаунт w0rm просто поставил себе имя разработчика, чтобы сделать скрин и выдать желаемое за действительное. На данный момент внешний доступ к тестовой среде уже закрыт. Никакого влияния на бизнес и безопасность клиентов данный подлог информации не оказывает.
Это не первый раз, когда w0rm удаётся получить доступ ко внутренним системам российских компаний, однако ранее хакер не публиковал в открытом виде логины и пароли ко внутренним системам компаний. В декабре 2015 года он получил администраторские права на сайте «АвтоВАЗа» через стороннюю систему совместной работы, а в августе — к служебным данным «МегаФона».
Пятница. У кого-то сегодня будет секс. И не будет выходных
"Пятница, Цыплухин сексуальный"
- простите
За ADMIN_PASSWORD="password" можно и в выходные поработать.
Комментарий недоступен
он до понедельника не мог подождать, зачем так жёстко в пятнитцу вечером
даже если проблема за пару минут решается, эти долбанные менеджеры всем разработчикам выходные испоганят
Комментарий недоступен
Комментарий недоступен
Комментарий недоступен
там не только исходники но и скорее всего цифровые сертификаты были, если это так, то придётся сервера и клиенты обновлять, и очень быстро.
Будет лили torrent ссылка?
Кто-нибудь успел слить исходники? Очень любопытно на них посмотреть. Для саморазвития, конечно.
Поддерживаю вопрос. Очень интересно. Можно будет создавать свои версии приложения Yota.
Будто сейчас нельзя.
а тем временем, если приложения были написаны прямыми руками и в исходниках не найдут серьезных дыр, то произойдет чуть менее чем ничего.
Не в этой стране😂
Говоря это, вы как бы оцениваете и свой уровень разработчика, если вы работаете в такой сфере
Какое отношения заказчика к работе в данной сфере в рамках своего бизнеса (если этот бизнес сам по себе не находится в области IT, как в сабже) в плане важности этой работы и соответственно её достойном финансовом обеспечении, таков и результат. Выполняя заказ, лично я бы не стал выходить за рамки технического задания, движимый лишь идеей усмотреть все возможные прорехи в разрабатываемом продукте. Так что скорее всего я бы стал судить об организации процесса разработки, нежели о квалификации самих разработчиков.
Вспомнил вчерашнюю новость о 4G-связи для бедных
Все отдыхают, но не Yota.
Ссылка будет, ожидайте ;)
Что насчет "w0rm просто поставил себе имя разработчика, чтобы сделать скрин и выдать желаемое за действительное. Никакого влияния на бизнес и безопасность клиентов данный подлог информации не оказывает." ?)
Ну и где?
Блин, не туда ответ