DEV Community 👩‍💻👨‍💻

Discussion on: Apie CityBee ir slaptažodžių saugumą

Collapse
juslintek profile image
Linas

Passwordai mažiausia problema. :) Per daug sureikšminami passwordai. Manau passwordus nuleakint gali svarbu, kad nebutu associaciju su kuo juos galima naudoti. :-) Bet čia ne tik passwordai, netekėjo bet ir visokie asmeniai duomenys: nu čia sprendžiant iš screenshoto. Neaišku koks jų contentas 2018 buvo leaked schema tables.

Aš darau išvadą, kadangi tik vieną failą rado, tai kad paliko tą failą kažkokiame Azure Storage Blob container, apie kurį pamiršo ar nežinojo. Neaišku kokiai resource grupei priklausė šitas db. :-) Tik aišku, kad turi 2018 metų senumo duomenis iš azure storage blobo container, kurio name stringe yra citybee raktažodis.

Aš irgi galėjau tokį blob container susikurti ir ten galėjau suseedinta su faker db patalpinti ir keliu tikrus emailus, kad surištu galus.

Bet jei ten visi acc tikri, nu tai žoplumo klaida, human error. Nei programeris, nei ekspertas nebutu apsaugojes, nei čia kažkoks breechas nei kas, arba azcli ar restful api requeste truko paramso, kad private butu ar flago ar UI checkboxas ar dropdown selectionas buvo ant public paliktas ir nepakeistas i public arba tas blobas buvo public panaudojimui, tik kazkas ten sudumpino viena karta i duombazę. Tai tokios tokelės.

Čia žinoma didelį skandalą padarė ir turim dabar ką turim. Čia toks gaunasi nekaltas inside job. Tikiausi tas kuris tai susifeilino nebedirba ir nepaliko jokių pėdsakų, kad taip padarė. :-)