Исследователь безопасности Боб Дьяченко (Bob Diachenko)
обнаружил (https://securitydiscovery.com/800-million-emails-leaked-onli.../) наличие неограниченного доступа к БД, включающей сведения о 800 млн email-адресов (размер загруженных данных - 150 ГБ). Помимо email более 4 млн
записей также содержали номер телефона и такие сведения, как область деятельности, адрес, ФИО, пол, IP-адрес и время последней активности.
Выборочная проверка показала, что это новая отдельно собранная база, а не просто компоновка информации на основе других утечек адресов.Утечка вызвана ошибкой при настройке СУБД MongoDB, в результате которой доступ к БД не был ограничен и данные были выставлены для всего интернета без аутентификации. Данные были собраны компанией Verifications.io, предоставляющей для предприятий сервис по подтверждению email-адресов перед отправкой массовых рассылок. Примечательно, что это не первая подобная находка Боба Дьяченко, прошлой осенью он выявил (https://www.opennet.dev/opennews/art.shtml?num=49259) похожую базу MongoDB, включающую 450 млн адресов.
URL: https://securitydiscovery.com/800-million-emails-leaked-onli.../
Новость: https://www.opennet.dev/opennews/art.shtml?num=50277
В MySQL / Mariadb открыть такой доступ геморой, а в MongoDB видимо закрыть такой доступ геморой -_-"
Веб-мартышки, сэр.
Плевать на то что база жопой в интернет торчит, за то у нас куберннтис и микросервисы!
Докерки, кубернетисы и прочие графаны - уже давно синоним голого зада, торчащего в паблик.
А графану-то за что?
он перечислил технологии за незнание которых его развернули на прошлом собеседовании на работу
А всё за тоже. brainlessware
А конкретика есть?
А то я как раз думал рассмотреть эту графану.
Так рассматривай, чего ты слушаешь всяких? И зперечимсленного я щкпал только докер, в нём, чтобы выставить порт наружу, нужна соответствующая строка в докерфайле. Если автор имиджа в докерфайле опубликовал порт в расчёте, что пользователь настроит софт внутри под свой юзкейс а пользователь оказался альтернативно-одарённым и просто развернул контейнер не вдаваясь в подробности, и его поимели через открытый всем ветрам порт - то это не технология плохая, а пользователь ыдыот. И вместо того, чтобы хаять докер на форумах, ему стОило бы сесть за чтение нормальной
(сцк, вечно я вместе с "й" tab нажимаю)
документации, а не статеек типа "как за три клика развернуть сервис в докере".
Графана это вообще не про хранение данных, а их визуализацию. Докер - отличная надстройка над контейнерами ОС, мы её и для линукса и для винды используем - для тестового окружения.А в том, что приложение выставили в интернет, да ещё и без пароля - это, конечно, вина приложения.
ну, короче, добрый совет - рассматривай ее в виде виртуалки (благо, ресурсов нужно минимум).
И на каждое, сц-ко, _каждое_ мельчайшее изменение конфигурации - снапшот.Потому что она имеет такое прекраснейшее свойство, эту самую конфигурацию внезапно терять или портить, причем непонятно, почему.
Ну и добро пожаловать в XXI век - когда конфигурация делается тысячекратным мышекликаньем, но поручить это дело неграм нельзя, потому что они не смогут написать запрос.
Вот, дельный пост.
конкретней можно? о чем вы мыслю свою излагаете? больше похоже на понос
> ну, короче, добрый совет - рассматривай ее в виде виртуалки (благо, ресурсов
> нужно минимум).
> И на каждое, сц-ко, _каждое_ мельчайшее изменение конфигурации - снапшот.
> Потому что она имеет такое прекраснейшее свойство, эту самую конфигурацию внезапно терять
> или портить, причем непонятно, почему.
> Ну и добро пожаловать в XXI век - когда конфигурация делается тысячекратным
> мышекликаньем, но поручить это дело неграм нельзя, потому что они не
> смогут написать запрос.А если смотреть глубже то в веб все переносят.На луркморе были правы.Планшеты-терминалы и ВЭБ)
Ненавидимый вами кубернетес как раз-таки требует явной конфигурации сервиса, который должен торчать наружу, к сведению. По умолчанию такого произойти не может by design.
Видимо комментарий был о том, что акцент делается не на архитектуру, при которой база не доступна снаружи. А на мусли-тренды, которые уделяют больше внимание не тому что нужно, а то что модно
> не тому что нужно, а то что модноТему раскрой. Просто в кубернетесе по умолчанию ничего не доступно снаружи. Ну, архитектура такая. Так это модно, или нужно?
Очевидно что вэб-мартишки думают, что кубернетис сделает все за них. Отсюда дефолтные настройки mongodb, отсюда база, торчащая в интернет, что легко сделать разворачивая кубернетис на голом железе
Раскрываю: взяли докерок, взяли кубернетю, взяли либо со стора либо вообще с какого-нибудь говнофорума имаж монги с шаблоном дефолтового конфига без пароля, задеплоили, профит. И даже думать не пришлось по пути.
Просто бессмысленный вой. Ну понятно.
С таким же подходом можно доверять только собственноручно написаному софту.
Проблема в том, что это были С-гуру.
из личного опыта:видел бы баш скрипты или конфиги, написанные С-гуру вместо хотя бы миддла-сисадмина, который должен подобные писать
Видел как ужасные так и вполне нормальные, от знание СИ корреляции не заметил, но выборка < 50 сишников.
> Видел как ужасные так и вполне нормальные, от знание СИ корреляции не
> заметил, но выборка < 50 сишников.зато есть корреляция качества скриптов к тому, является их писатель админом или нет
это как обсуждать С код написанный админами, у кого-то энжинкс выходит, а у кого-то совсем не то
ну в целом так и есть - с поправкой что если бы ты манд...монгу использовал так же как, в большинстве случаев, mysql, то так же просто было бы закрыть.
например, как и mysql на большинстве васян-хостов, просто не слушать сеть кроме 127.0.0.1а когда начинается то, где монгу заменить можно только таким же уг - т.е, отказоустойчивые кластеры, может быть с шардингом - тут сразу все становится очень грустно, и сразу понимаешь, что придумывали все это незамутненные личности, уверенные что их данные никому не нужны.
плюс заниматься всем этим отряжают девляпса или админа, второму интуитивно понятный синтаксис монги абсолютно непонятен (а оно еще и разное в разных версиях), причем нахрен не нужен - никаких админских задач этот уродец не решает и не может, ну а первый вообще все так делает.
а sql'и большого размера обслуживают dba, или админ, который умеет, а не только что с пятого на десятое в невменяемой вики вычитал пару заклинаний.с редисом, если что, все еще хуже - оно еще и тормозит, если таки пытаться там сделать полноценный auth между узлами кластера. by design.
> что придумывали все это незамутненные личностиНа себя посмотрел бы, де билл. Они "придумали всё это...", а тебе выдали вантуз. Вот пусть так и будет!
> интуитивно понятный синтаксис монги абсолютно непонятенКак говорят - ртфм.
> оно еще и тормозит, если таки пытаться там сделать полноценный auth между узлами кластера.А аутх - это таки решение? Видал я суговых одминов, выставлявших муцкулепоцгрессы с аусом наружу.
Понимаешь диодушка, внутренняя сеть должна находиться внутри, а наружняя - снаружи. Вот у нас в большинстве окружений прода - вообще нет ната для ынторнетов. Ибо не нужен. Наружу только вебня торчит.
А вот внутри есть и поцгрессы, и многи, и эластиксрачи, и редиски, и мария-галеры, и какая-то самопейсанная ерунда с рест-апи, коей является нечто, приносящее шараге бобло. Потому, я считаю, что сравнивать муцкуль с монгой - по крайней мере - некорректно, особенно на проектах, где нужны оба. Сразу, то есть - одновременно. Короче: тёплое - однозначно лучше мягкого, ибо частота напряжения в сети - сильно меньше радиуса планеты.Ещё видел я тех, кто из муцкуля бигдату делал. На несколько терабайт, после чего Зайцев с нескрываемым удивлением мог только похвалить за отвагу.
В чём проблема хранить и даже успешно ворочать несколько терабайт в мускуле? Знаю, девляпсы его приготовить для этого не смогут, но в целом - вполне себе применение. Главное при этом - не просить от движка невозможного.
в том, что это делают только идиоты.
> Понимаешь диодушка, внутренняя сеть должна находиться внутри, а наружняя - снаружи.это все очень здорово в эпоху одноразовых инстансов с плавающими айпишниками, размещенных где-то хз где, "зато дешево".
> Вот у нас в большинстве окружений прода - вообще нет ната для ынторнетов.
это как-то защитит вас от ситуации банального пролома вебфронтенда с получением банального shell ? Или все перечисленные вами потроха станут тут же доступны любому, сумевшему хоть кончик пальца просунуть внутрь периметра? Меня вот немного такой расклад огорчает. с "устаревшими технологиями" такой индивид получил бы доступ только к тому, от чего нашел бы там же пароли - если бы вообще нашел.
> Потому, я считаю, что сравнивать муцкуль с монгой - по крайней мере - некорректно
вам следует научиться читать. Сравнивал я не мускль с монгой, а уровень разработчиков в области умения обеспечить минимальную безопасность, чуточку отличающуюся от "все-всем"...зачеркнуто, тут круче - "все - всему интернету". Сравнить хотя бы дефолтное состояние свежепоставленного (из исходников, без заморочек от пакетеров) mysqld и свежепоставленной поделки хипстоты-с-подворотиками, что монги, что редиса. Мемкэшу ок, простительно, его писали в общем-то под localhost.
> Ещё видел я тех, кто из муцкуля бигдату делал. На несколько терабайт,
а где тут - bigdata и в чем тут - проблема?
несколько сот терабайт - может уже и было бы о чем говорить (необязательно это bigdata, но с mysql проблемы уже будут)коллекция 800 миллионов мэйлов (даже с именами и адресами) - сама по себе, если что, тоже не bigdata ни разу.
Смысл сего воя - раньше трава была зеленее, они не такие как мы, и потому - виноваты.> дефолтное состояние свежепоставленного
Ну... С тобой всё понятно. Держи нас в курске.
>это все очень здорово в эпоху одноразовых инстансов с плавающими айпишниками, размещенных где-то хз где, "зато дешево".Вы админку Амазона хоть раз видели? По умолчанию в ней доступ ко всем сервисам закрыт и чтобы открыть монгу наружу - надо специально это сделать. Но виноваты конечно облака и контейнеры.
Это да. Уже лет 10 как понятно, что сервисный софт с низким порогом вхождения пора бы прикопать уже, но нет, тренд в обратную сторону.
> ну в целом так и есть - с поправкой что если бы
> ты манд...монгу использовал так же как, в большинстве случаев, mysql, то
> так же просто было бы закрыть.
> например, как и mysql на большинстве васян-хостов, просто не слушать сеть кроме
> 127.0.0.1
> а когда начинается то, где монгу заменить можно только таким же уг
> - т.е, отказоустойчивые кластеры, может быть с шардингом - тут сразу
> все становится очень грустно, и сразу понимаешь, что придумывали все это
> незамутненные личности, уверенные что их данные никому не нужны.Знаешь пох, я таки понял почему ты пишешь во всех подряд новостях - это потому что ты НИХРЕНА ни о чем не знаешь.
Во всяком случае из текущего комментария прекрасно видно, что монгой ты не то что не пользовался - ты даже мануала в край глаза ни разу не просмотрел.
Потому что если бы ты взял пару тройку часов на ознакомление - то этого хватило бы что-бы знать что связь нод в кластере монго идет с использованием ключей или x509 сертификатов. Внезапно, да? Наш похуеватый идиот.
И пользователи при подключении к кластеру никаких нод НЕ ВИДЯТ! По хорошему - ноды вообще сидят глубоко за фаерволом. Пользователь подключается к маршрутизатору кластера! К маршрутизатору а не к нодам!
> Знаешь пох, я таки понял почему ты пишешь во всех подряд
> новостях - это потому что ты НИХРЕНА ни о чем не знаешь.«Здесь так принято!».
> я таки понялНа третий день Зоркий Глаз заметил, что у сарая нет одной стены ))
> Во всяком случае из текущего комментария прекрасно видно, что монгой ты не то что не
> пользовался - ты даже мануала в край глаза ни разу не просмотрел.у нее есть мануал? Ну посмешили. У нее есть невразумительная гуановика (с неочевидным, кстати, доступом к устаревшим версиям), порезанная на странички доступного пониманию девляпсьего мозжечка размера, поэтому как только ты пытаешься разобраться в чем-то сложном - у тебя мгновенно окажется два десятка открытых табов, из которых, конечно, ты рано или поздно извлечешь нужную и полезную копипасту, но объяснения концепций - не для ее авторов.
Так что копируй сразу со stackoverflow, там оно хотя бы в одном месте.> Потому что если бы ты взял пару тройку часов на ознакомление - то этого хватило бы что-бы знать
> что связь нод в кластере монго идет с использованием ключей или x509 сертификатов.или идет без всяких сертификатов, как оно у всех кто ей на самом деле пользуется, а не вику почитал с пятого на десятое или учебную среду развернул на коленках, и бывает, в большинстве случаев.
Собственно, для фомы неверующего, типовой случай мы тут и обсуждаем - 800000000 записей достались хорошим ребятам.> И пользователи при подключении к кластеру никаких нод НЕ ВИДЯТ! По хорошему - ноды вообще сидят
> глубоко за фаерволом. Пользователь подключается к маршрутизатору кластера!вау, какие у вас глупокомысленные познания. И у вас _пользователи_ к чему-то там в монго-кластерах подключаются, да еще и между элементами кластера еще и файрволл? Ахренеть, дайте мне той же травы, хоть похихикаю.
А iptables уже отменили?
Так это думать надо, готовый тяпляпбук не скачаешь.
Шо? Не верю. Сам же пишу тяпляпбуки в большом количестве. Может ты это, ртфм сделай для начала?
так уже ж полгода как - правда, пока объявили deprecated.еще учти что у тру-девляпса монга в докере в докере в докере (тут, на самом деле девляпс не очень виноват, виноваты хотелки обмазаться наисвежайшим, "а в вашей lts бубунте какое-то мамонтовое г" - причем о совместимости там особо не парятся) поэтому как только сетевая конфигурация отходит от совсем уж банальной - проще уже плюнуть и растереть - и бессильно наблюдать на совокупление докера, ufw, эмуляции iptables'ов nft и прочей новомодной ереси. Тем более что "все так делают", мне вчорась три девелопера втирали!
я-то пока надеюсь на защиту периметра и кое-как подложенные пару грабелек, о которые споткнется совсем уж легкомысленный горе-"исследователь безопастносте", но тут еще, наверняка, все это было в облачках, белогривые лошарики...адреса назначаются чорти как и чорти чем, облаков бывает не одно (диверсифегация, запрещенный на опеннете петушиный возглас) - в общем, заманаешься ты все это тамагочи кормить, а быть виноватым что "опять из-за твоих игр ничего у серьезных ребят не работает" тоже быстро надоест.
> виноваты хотелки обмазаться наисвежайшимИ без докера ты это не умеешь? Молодец.
Вы будете смеяться, но он уже "не молодежно". :)
> Вы будете смеяться, но он уже "не молодежно". :)Наверное я отстал от жизни. Что сегодня модно вместо iptables?
вместо - nft. Но nft приличные люди давно уже не носют, нам нужно больше трэша и угара - поэтому теперь мы переписываем все через байткод для bpf!
О, ещё один, выставляющий базы наружу. У нас такое в впн заворачивают, вообще-то.
на каждом амазонском инстансе у тебя по vpn'у? И как там монга - не тормозит?P.S. у меня 15 лет mysql принимал соединения снаружи (пока таки не был выкинут и заменен sqlite плюс самодельная репликация - это оказалось проще чем нормальная работа его внутренних уродливых костылей, да и sqlite нынче совсем другой пошел) - что я делал не так?
Вот авторы - они да, многое делали не так, как сейчас принято. Начиная от почти нормальной (да великолепной, на самом деле, по меркам того 99го года) аутентификации без гнилых openssl оберток, и заканчивая встроенной поддержкой libwrap'а.
Я там где-то выше писал о том, что внутреннее - внутри, а наружнее - снаружи. Возможно внутренняя сеть у тебя - интернет?
а, ну тогда просто подожди - придет тимлид разработчиков и прикажет немедля перенести все в облачко мэйлcpy, пятнадцать минут на разобраться и доложить об успешном выполнении, все давно уже так работают, он уже доложил начальству о существенной экономии ресурсов - кстати, ставку админа сокращают.У меня-то еще много чего не как у тебя, ну так - я устаревший ненужный мамонт, ненавистник современных технологий и бревно на пути прогресса, меня еще несколько лет ничего из этих радостей не коснется. Девляпсы - они в соседнем отделе, их поломают - я вроде и ни при чем.
Ты просто не на месте, вот и истекаешь жёлчью. Бросай эти линуксы, иди на мсдн(и/или нaфиг) и делай то, что тебе нравится. А тем временем девляпсы продолжат развиваться своим, интересным им путём.
Например я девляпсил ещё задолго до появления данного термина, паковал корни гент с приложениями в squashfs и раскидывал скриптами по сервакам. Когда появился доцкер и начал работать, то я вздохнул с облегчением и выкинул свои скрипты.
Экономить ресурсы, кстати, тоже надо. И админа заменить на сотню ансибиль-прейбуков - тоже надо. И перейти с бензина на аккумуляторы, с вантузомакакоси на любой линукс. С виртуалок - на контейнеры(хотя были у меня юзкейсы, связаные с конкретными версиями ведра, там виртуалки незаменимы).
В общем - nox лает, караван ползёт. Не так быстро, как хотелось бы, но ползёт.
> Ты просто не на месте, вот и истекаешь жёлчью.я-то как раз на своем месте, оно к девляпсам с гентами и лепке костылей на squashfs отношения не имеет. (кстати, девляпса найти не можем - а он тут тоже нужен. Унылятина одна приходит, вообще ничего не умеющая - а я за них горшок выносить не планирую.)
> Бросай эти линуксы, иди на мсдн(и/или нaфиг) и делай то, что тебе нравится.
мне людей убивать нравится, но профессия палача нынче, увы, плохо востребованна в цивилизованном мире (незаслуженно плохо, я бы сказал). https://rtvi.com/news/na-shri-lanke-otkrylas-vakansiya-palacha/ - сюда подаваться бестолку, они говорят - нужен native, иначе карма сильно портится.
Кстати, у них вакансия уже пять лет не закрыта, все привередничают, от хороших кандидатов нос воротят.> доцкер и начал работать, то я вздохнул с облегчением и выкинул
> свои скрипты.а когда он тебе первый раз разнес файловую систему через чудесный aufs - просто пошел искать новую работу, да?
> Экономить ресурсы, кстати, тоже надо. И админа заменить на сотню ансибиль-прейбуков -
тогда новую работу пойдет искать вся контора, начиная с CTO. Скорее рано чем поздно.
> тоже надо. И перейти с бензина на аккумуляторы
о да, о да. Вот тут ты в тренде, явно не понимая, каком.
> В общем - nox лает, караван ползёт. Не так быстро, как хотелось
> бы, но ползёт.да, увы, до прекрасного дня массового переползания через край пропасти еще далеко, а отдельные торопыги не так смешны. Подумаешь, 800000000 адресов, какая такая приватность в эпоху интернета (c)Блинн.
Судя по всему - это облако. У нормальных людей БД наружу не торчит, только API.
Ну вот у них API самой монги и торчало, муахаха. Видимо, решили, что DB API - тоже API.
> Ну вот у них API самой монги и торчало, муахаха. Видимо, решили,
> что DB API - тоже API.mongo as a service, чо не так-то? ;-)
И когда особо одарённая вендурь научится поставлять своё поделие сконфигурированным на localhost по умолчанию (да, с внятно документированной ручкой, но чтоб её ручкой надо было повернуть)...Недаром у нас сервисы массово закручивались именно в такое изкоробочное положение ещё в начале века.
PS: комментарии про незавидное состояние белогриволошадных прочитал позже -- ну ой, этим остаётся страдать.
>сконфигурированным на localhost по умолчаниюМихаил, но ведь за это объявят "админом локалхоста". :)
>> сконфигурированным на localhost по умолчанию
> Михаил, но ведь за это объявят "админом локалхоста". :)Придётся объяснить, какое значение изначально вложил в этот термин. :)
(о применимости к причине новости сложно говорить с учётом неизвестности мне того, так что там с инстансами было в данном разе, ну и полного отсутствия личного опыта работы с монгой)
с инстансами в этом разе, очевидно, все было, потому что 150g ценных для перепродажи данных никто не хранит в одном экземпляре, даже если чисто технически и возможно.потому что даже просто развернуть их из бэкапа займет очень даже продолжительное время, в течении которого вся система полежит.
Миша, оно так не работаит - в смысле, ее не для того ставят, чтобы она локалхвостом виляла. Это для redis еще туда-сюда применение, и то если его совсем не жалко (а то появляется slave, и понеслась)Поэтому первое, что сделают с подобной хренью - это перекрутят ручку на 0.0.0.0, чтоб ей вообще можно было как-то пользоваться.
А потом будут думать, а что ж блин бы с ней такое придумать, чтобы оно еще и не весь интернет пускало к себе в гости. Про банальный tcpd - афтары не, не слышали.А на локалхвостовых установках пофигу, что оно там слушает и слушает ли вообще, там все одно ничего ценного быть не может.
> Миша, оно так не работаить - в смысле, ее не для того
> ставят, чтобы она локалхвостом виляла.Я про изкоробку, ну и #61 затем прочитал -- сочувствую.
> В MySQL / Mariadb открыть такой доступ геморой, а в MongoDB видимо
> закрыть такой доступ геморой -_-"Ононим такой ононим. Если не знаешь как настраивается доступ в Монге - не открывай свою пасть. Ведь она тебе нужна только что бы есть.
И нет, никакого геморроя нет: всего одна строчка в конфиге в разделе безопасности.
security:
authorization: enabledНу, параноики еще могут настроить строгую привязку к сетевым интерфейсам и отключение обхода авторизации при локальном (127.0.0.1) доступе.
Это тоже по одной строчке.net:
bindIp: "тут оставить только нужный интерфейс"
setParameter:
enableLocalhostAuthBypass: falseСобственно все - теперь вы кроме как с логином\паролем никак к БД не подключитесь.
> security:
> authorization: enabledмолодец, заявление по собственному желанию сам напишешь, или на тебя компании подать в суд, для получения компенсаций за потерянную выгоду, поскольку ты вот сейчас сломал нахрен доступ (и себе заодно, поскольку про bypass вспомнил уже потом, да и есть ли там локальный клиент или доступ к репо для его установки - не факт, так что починить уже ничего не сможешь) ?
вот так оно у любителей простых решений всегда и бывает.
Без этой базы мне эта новость нафиг не нужна
Сколько лет будешь выкачивать?
Если провайдер позволит то 0,000237823439878 лет
150 Гб за 2 часа? ..жырненькый у вас интернетик.
Ыы
При 1Gbps - ~850gb за 2 часа через канал пролетает...
Taк шо можем считать что у человека канал ниже среднего
Ну хз плачу 200р за месяц через канал пролазит 5тб но шибко что то не качаю, так повседневное пользование. Ценник с белым IP
То ли нолик забыл, то ли виртуалку арендуете где эти 150 гб и не разместить, то ли вы из волшебной страеы, скажите где купить билет в дивный интернет?
Так чтоб это, 150 гиг за два часа, всего примерно 200 Mbps и надо-то. Это разве жырненький?
если я правильно понял, чувак просто нашёл, написал владедьцу и те закрыли. даже если он и выкачал всю базу, то расшаривать её не собирается. так что утечка сильно преувеличена
эх... я бы вот в такое зашел - не поленился бы заплатить $5, и стереть всю базу нахрен с какого-нибудь антикитайского vpn.что и надо делать каждый раз с такими уродцами.
> даже если он и не выкачал всю базу
нашлись другие, которые никому об этом рассказывать не будут. Поправил, не благодари.
> Без этой базы мне эта новость нафиг не нужнаТоже об этом подумал)
Ну что сказать, надо технически грамотных специалистов нанимать и тех долг закрывать вовремя. Проблема в том, что просто не настроили нормально сервера, вот в принципе и все. Если бы доступ был бы через какой-нибудь vpn такой проблемы бы автоматически не возникло бы. А они скорее всего тяп ляп, на голое железо/облако, без контейнеров херак и запустились. Т.е. в данном случае, если бы они всю инфраструктуру одного сервиса развесили бы на контейнере и пробросили бы доступ через какой-нибудь nginx, то спали бы спокойно с любой базой.
> Если бы доступ был бы через какой-нибудь vpnа если бы пароль прставить на все СУБЛ?
или требование -- обязательно всё нужно делать через одно (Ж) место?
Какой пароль, вы о чём? кубернетесом докерок пнули, и забыли
> а если бы пароль прставить на все СУБЛ?а вот ты нам сейчас и расскажешь, как в монге 2.4 это делается. Инстансах так на 101м ("следи же, чтобы число их было нечетно").
А потом отдельно про 3.6 и отдельно - про особенности миграции кластеров с первой на вторую без остановки прода. 4.0 оставим на сладкое (про нее я сам, к счастью, пока не очень в курсе)и не забыть описать что нужно делать программистам, причем вчера. Чтобы сегодня у них работало и до момента включения тобой ауфа, и после.
и себе смотри доступ не отруби, это типовая ошибка начинающих монговодов ;-)
> и себе смотри доступ не отруби, это типовая ошибка начинающих монговодов ;-)http://www.opennet.dev/openforum/vsluhforumID3/116773.html#83 - во, первый пришел ;-)
Проблема в том, что монетизацию поставили на первое место.
вот примерно такой хипстор как ты там и занимался безопасностью.
такой там ниасилил, иначе бы оно, наверное, все же бы сработало, даже если "vpn" какой-нибудь совсем игрушечный - вполне достаточно невозможности коннекта снаружи к адресам, которых ты еще и не знаешь. Проблема что в 800терабайтовом монгокластере довольно непросто такой vpn построить.еще и лекарство может оказаться хуже самой болезни, обернувшись каким-нибудь heartbleed'ом
Магнит на дамп есть у кого?
Друг спрашивает.
> Магнит на дамп есть у кого?
> Друг спрашивает.До "друга" не дошла судьба того чувырлы из центра американского английского?
так пристрелили ж директора, а админ, поди, вон, новую работу нашел, с солидным увеличением оклада и охвата клиентов ;-)
> Данные были собраны компанией Verifications.io, предоставляющей для предприятий сервис по подтверждению email-адресов перед отправкой массовых рассылокЗачем сервису для подтверждения email-ов их хранить? Или они деньги с продажи налево имели?
Ну а зачем еще нужна такая база - только торговать ПДн.
Here is the scenario:“Mr. Threat Actor” has a list of 1000 companies that he wants to hack into. He has a bunch of potential users and passwords, but has no idea which ones are real. He could try to log in to a service or system using ALL of those accounts, but that type of brute force attack is very noisy and would likely be identified. Instead, he uploads all of his potential email addresses to a service like verifications.io. The email verification service then sends tens of thousands of emails to validate these users (some real, some not). Each one of the users on the list gets their own spam message saying “hi”. Then the threat actor gets a cleaned, verified, and valid list of users at these companies. Now he knows who works there and who does not, and he can start a more focused phishing or brute forcing campaign.
> Each one of the users on the list gets their own spam message saying “hi”. Then the threat actor gets a cleaned, verified, and valid list of users at these companies.и так скомненько опустили часть между "hi" и "Then"
То-то нам спам последний месяц посыпался.