| 1.1, aarghm (?), 12:18, 22/11/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +23 +/– |
облакаааа белогривые лошаадки...
Кто там больше всех топит за певод всего ився в облака..ну ну
| | |
| |
| 2.3, ryoken (ok), 12:23, 22/11/2017 [^] [^^] [^^^] [ответить]
| +5 +/– |
 > Кто там больше всех топит за певод всего ився в облака..ну ну
Моей личной паранойе более чем очевидно, что храня данные в "облаках", вы подставляете ..мнээ.. ну сами знаете что, минимум 2-м конторам - инет-провайдеру и организатору облака.
| | |
| |
| 3.26, Аноним (-), 16:23, 22/11/2017 [^] [^^] [^^^] [ответить]
| –2 +/– |
ну, для бекапов котиков в каком нибудь криптоконтейнере с сохраненной где нибудь локально копией хешей, чтобы исключить подмену - пойдет. Провайдер тут, по крайней мере на несколько ближайших лет, роли не играет - трафик между юзером и облаком шифруется. А от серьезных дядь все равно спасет только бытность неуловимым джо - те и без облаков, даже при отсутствии чего либо кроме цветных лошадей на винте, найдут запрещенку - план то выполнять надо
| | |
| |
| |
| 5.47, Аноним (-), 19:46, 22/11/2017 [^] [^^] [^^^] [ответить]
| –3 +/– | |
> Вы уже стали жертвой выполнения плана?
Это не важно, важно то, что ты стал жертвой его невыполнения.
Не спеши реагировать, продолжай перечитывать до просветления.
| | |
|
| 4.59, Аноним (-), 23:11, 22/11/2017 [^] [^^] [^^^] [ответить]
| +3 +/– |
Нравятся мне бывалые люди. Всегда расскажут, как оно на самом деле.
| | |
| 4.70, Докторская (?), 10:36, 23/11/2017 [^] [^^] [^^^] [ответить]
| +/– |
зачем ты рассказываешь нам здесь о своей влажной мечте ? успокойся, план не будет входить в твою запрещенку
| | |
|
|
| 2.6, brak (?), 12:36, 22/11/2017 [^] [^^] [^^^] [ответить]
| +13 +/– |
Ага, дело то именно в облаке. А хранить пароли надо на github
| | |
| |
| 3.49, Obiron (?), 20:15, 22/11/2017 [^] [^^] [^^^] [ответить]
| +/– |
Ага, пляж, луна и йети. Где взаимосвязь? При чем тут облако? Если чуваки хранили данные доступа к облаку в исходниках разрабатываемого ПО на гитхабе.
| | |
| |
| 4.52, Аноним (-), 20:53, 22/11/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Ага, пляж, луна и йети. Где взаимосвязь? При чем тут облако? Если
> чуваки хранили данные доступа к облаку в исходниках разрабатываемого ПО на
> гитхабе.
ну некоторые разработчики не находят различий между -- кодом, конфигом, бэкапом, ...и..т..д...
у них это всё одна большая куча (всё что просматривается через IDE -- это код.. а всё что имеет ревизию -- это версия бэкапа :-))
| | |
| |
| 5.61, Obiron (?), 23:57, 22/11/2017 [^] [^^] [^^^] [ответить]
| +/– | |
Н-дэ... Глупо получилось, чуваку залепил коммент про взаимосвязь а на нить не глянул. Это был всего лишь сраказм от него...( сарказм ).
Так что я тоже как некоторые разрабы не нахожу отличий между и между ))
| | |
|
|
|
| 2.11, samm (ok), 13:04, 22/11/2017 [^] [^^] [^^^] [ответить]
| +/– |
 о да, они должны были делать сервис на своем домашнем компутере )))
| | |
| |
| 3.13, пох (?), 13:09, 22/11/2017 [^] [^^] [^^^] [ответить]
| +5 +/– | |
> о да, они должны были делать сервис на своем домашнем компутере )))
нанять инженеров, арендовать датацентры, построить собственную инфраструктуру (дорого? AWS в больших масштабах тоже нифига не дешев, скорее - безумно дорог, потому что ты платишь за все то же самое - плюс дяде на карман) - не-е-е-е, это не по модному-современному, инвесторы не поймут.
Мы лучше еще раз дизайн приложения обновим.
И да, купить гитхаб/взять бесплатный(один хрен модный хипстадев ничего кроме гит не умеет) гитлаб и поставить да хоть на свой aws - не, не по нашему - мы будем закрытый корпоративный код держать в общественной помойке.
Но новый CEO, походу, молодец, так держать.
| | |
| |
| 4.29, Аноним (-), 16:36, 22/11/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Но новый CEO, походу, молодец, так держать.
новый CEO использует инцидент в каких то своих внутренне-корпоративных целях, сугубо личных. Может быть дажу чтоб кого-то убрать, или заболтать другой инцидент.
| | |
| |
| 5.34, пох (?), 17:26, 22/11/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
по-моему нет смысла искать черную кошку в темной комнате, когда держишь ее уже за шкирман.
Очевидно, "во внутрикорпоративных целях" и "кого-то убрать" - уволил автора договорняка и ответственного за секьюрити, прошляпившего эпик-фейл (второе должен был сделать предыдущий CEO, но он, вероятно, не мог - был чем-то этому секьюрити обязан). И скажи еще, что это НЕ соответствует корпоративным целям.
| | |
| |
| 6.75, Аноним (-), 17:18, 24/11/2017 [^] [^^] [^^^] [ответить]
| +/– |
чем выше стандарт безопасности, тем вероятнее то, что данные теряются на неритмичной основе, "терять" данные это функция прямо заложенная в безопасность и для фейла нужна двойная утечка.
| | |
|
|
| 4.66, лютый жабист__ (?), 05:34, 23/11/2017 [^] [^^] [^^^] [ответить]
| –2 +/– | |
>построить собственную инфраструктуру... потому что ты платишь за все то же самое - плюс дяде на карман
Не подозревал ли ты, дорогой пох, что у людей с заточенными под это руками получится дешевле, чем у таксопёров? не знаю в какой конторе ты работаешь, если ли у вас транспортный цех. если есть, то как вы там, сами автозавод построили или таки готовые автомобили покупаете? а чё так? ведь свои машины делать выгоднее! не надо дяде на карман 8))))))
| | |
|
|
| 2.41, Denis (??), 18:23, 22/11/2017 [^] [^^] [^^^] [ответить]
| +4 +/– |
 Чукча, не читатель, чукча писатель? Облака то тут при чем? Украли логины и пароли. Имея их не важно где данные хранятся, хоть на localhost. И если нет мозга включить MFA, то это не проблема облаков.
| | |
| 2.48, key (??), 19:47, 22/11/2017 [^] [^^] [^^^] [ответить]
| +5 +/– |
 Хранят пароли доступа в git, а виноваты облака. Л-логика(хотя облака это действительно часто зло).
| | |
| |
| 3.53, нах (?), 20:59, 22/11/2017 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> Хранят пароли доступа в git
в github. В public github. Хранили бы в git на компьютерах разработчиков - их может и сперли бы тоже, но не так вот просто.
Хранили бы в github for enter:price$$$$$$ - тоже.
Был бы клауд приватный с доступом только изнутри периметра - тоже.
| | |
|
|
| 1.2, ryoken (ok), 12:22, 22/11/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +9 +/– |
> Информация о взломе раскрыта после вступления на пост нового руководителя компании, который
> считает недопустимым сокрытие подобных инцидентов. Новый CEO также уволил курирующего
> оформление сделки юриста и попросил покинуть свой пост руководителя службы безопасности.
Ай малаццаа.
| | |
| 1.5, Аноним (-), 12:33, 22/11/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– |
Теперь для финального clean-up'а Уберу надо найти и уволить источник Блумберга.
| | |
| |
| 2.27, EHLO (?), 16:31, 22/11/2017 [^] [^^] [^^^] [ответить]
| +/– | |
>Теперь для финального clean-up'а Уберу надо найти и уволить источник Блумберга.
вероятно уже
>курирующего оформление сделки юриста и попросил покинуть свой пост руководителя службы безопасности
| | |
|
| |
| 2.9, Аноним (-), 12:52, 22/11/2017 [^] [^^] [^^^] [ответить]
| +4 +/– |
Как ни за что, они пострадали ради высшего блага, заработка мошенников.
| | |
| |
| 3.12, Obiron (?), 13:06, 22/11/2017 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Они пострадали из-за головотяпства сотрудников. Kацкерам не пришлось что-то напрягать что бы получить доступ туда, куда они и получили.
>> разрабатывалось программное обеспечения для работы сервиса. В составе кода атакующие нашли параметры аутентификации для Amazon AWS S3 | | |
|
|
| 1.14, Аноним (-), 13:18, 22/11/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– | |
> В составе кода атакующие нашли параметры аутентификации
уж сколько раз твердили миру: не храните аутентификационные данные в репозитории с кодом…
| | |
| 1.15, Аноним (-), 13:39, 22/11/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +19 +/– |
Уволили директора и лоера, а виноват небось андрей с бородой, который ездит по конференциям и рассказывает про крутость девопса и докера
| | |
| |
| 2.35, пох (?), 17:29, 22/11/2017 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Уволили директора и лоера, а виноват небось андрей с бородой, который ездит
> по конференциям и рассказывает про крутость девопса и докера
в смысле - мало ездил, скушно рассказывал? Тут ни девопса, ни докера (точнее, все заемное, у амазона) - как раз на чем, по сути, и облажались - вовремя дать по рукам девелоперам оказалось некому.
| | |
| |
| 3.38, _ (??), 18:13, 22/11/2017 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Хотя я и понимаю твою боль, но это уже пох (каламбурчик'с! :)
Они уже в облаках. Облака им нравятся. Они хотят больше облаков.
И им только в виде кошмара снится что они владеют HW infrastructure :(
Ну не хочешь же ты чтобы каждая компания себе ГЭС соорудила и ЛЭП до коробочек провела? Вот и они хотят IT из розетки ...
А то что данные утекли ... хня! От слова - НАПРОЧЬ! У всех крупных игроков утекало, на всех нас, на каждого на шарике многократно!
И ___ЧТО?!?!?!___
Кто то сел? Да хрен с ним - кто то хотя бы стал иметь меньше бабала? Нет!
А значит - забудь. Забей. HW\Net\Infra - спецы теперь нужны только в пяток компаний кто облака делает :( Переквалифицируйся или умри. ТЧК.
Я лично - уже :-) Хоть и не нравится мне это овно, а куда денешься?
PS: вспомни как на нас - йунных пиcишников смотрели мужики с мэйнфреймов ... спираль истории, мать еЯ :-))
| | |
| |
| 4.55, пох (?), 21:13, 22/11/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Ну не хочешь же ты чтобы каждая компания себе ГЭС соорудила и
> ЛЭП до коробочек провела? Вот и они хотят IT из розетки
в силу зеленой плесени в головах граждан, кстати, это может, внезапно, сделаться былью - и накрыть приятный и доходный китайский бизнес по загаживанию последних уцелевших рек на планете плотинами.
> Кто то сел? Да хрен с ним - кто то хотя бы
> стал иметь меньше бабала? Нет!
ну, вот секьюрить местный теперь хрена с два найдет работу, с таким пятном в биографии. Хотя, конечно, пойдет чем-нибудь руководить, mba финишд. И это редкое исключение.
> А значит - забудь. Забей. HW\Net\Infra - спецы теперь нужны только в
> пяток компаний кто облака делает :( Переквалифицируйся или умри. ТЧК.
ну, я вынужденно и переквалифицировался - поскольку им же нужен кто-то, кто донесет их дерьмо до розетки. Но эта специальность нравится мне еще меньше прежней, я-то хотел настраивать как раз корпоративные сети.
Вместо этого я их дублирую - потому что квалификация средневшивго админчика упала нынче до нуля, зато ЧСВ вырос до небес. В результате, доверить им компьютеры, которые мне все равно нужны - для управления, контроля и разворачивания оборудования - невозможно. И приходится все возводить параллельно - начиная от почты (потому что мне нужно чтобы уведомления приходили, а не слушать их басни о неодолимых трудностях в настройке эксченджа) и заканчивая деплоем блейд-серверов. Со всеми промежуточными остановками.
| | |
|
|
| 2.50, key (??), 20:32, 22/11/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
андрей то все правильно рассказывает
виноват тот кто коммитом пароли в гит захардкодил
| | |
| |
| 3.62, Аноним (-), 00:02, 23/11/2017 [^] [^^] [^^^] [ответить]
| +3 +/– |
> андрей то все правильно рассказывает
> виноват тот кто коммитом пароли в гит захардкодил
А захардкодил как раз такой, которому "А чо я буду с зависимостями и отдельным сервером париться, просто поставлю в докере" и "А чо я буду с гитигнором и исключениями париться, просто закоммичу как есть".
| | |
| 3.67, Анотоним (?), 08:47, 23/11/2017 [^] [^^] [^^^] [ответить]
| +1 +/– | |
виноват тот, кто его собеседовал, тот, кто этого дятла принял на работу, тот, кто его на испытательном сроке курировал, тот, кто давал задания и контролировал.
вот эти все роли-люди виноваты. они должны были сказать "у нас так нельзя". заглянуть через плечо в код. дать по ушам.
если "внизу" происходит такая ерунда, да еще такая что её видно снаружи, виноват в первую очередь руководитель, что набрал "по своему образу и подобию" таких долбодятлов. и он в первую очередь должен улететь с ярко светящейся черной меткой и громким пинком в butt.
| | |
|
|
| 1.18, Аноним (-), 14:21, 22/11/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> удалось выяснить личности атаковавших и в случае неисполнения обязательства им грозил серьёзный срок заключения
Каким образом удалось узнать личности? Очень сомневаюсь что атаковавшие доверели свои персональные данные Uberу. Ну а если и доверили то их можно теперь и под суд отправить и таким образом вернуть денежки.
| | |
| |
| 2.21, пох (?), 15:04, 22/11/2017 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> Каким образом удалось узнать личности?
когда в конце-концов приходишь за невиртуальными деньгами - с тобой приходит невиртуальная жопа, за нее вполне могут взять.
скорее всего где-то лоханулись именно на этом этапе.
К тому же они были, вероятно, скорее gray hat, убер готов заплатить деньгами - отлично, берем деньги. Ну хочет он знать кто мы - ок, под ответный nda и отказ от претензий - предъявимся. Так что может и не лоханулись.
> Ну а если и доверили то их можно теперь и под суд отправить и таким образом вернуть денежки.
нет, уже нельзя - заплатил, значит, эти люди тобой наняты.
При том что и раньше шанс был мизерный - они ничего не взламывали, доказать факт вымогательства а не добровольного сотрудничества, скорее всего, не вышло бы.
| | |
| |
| 3.39, _ (??), 18:21, 22/11/2017 [^] [^^] [^^^] [ответить]
| +/– | |
>нет, уже нельзя - заплатил, значит, эти люди тобой наняты.
Именно так. В контракте будет изучение возможности взлома. В результатах - взлом, ценник, итого. Всё на бумажках и с подписями имеющими юр. силу.
Это вообще то сплошь и рядом происходит, просто кто по умнее и давно в теме - заранее сообщают - мол мы купим наши дыры, а этим на ходу пришлось скакать.
За это и уволили :)
Ну и новый СЕО - новая команда, кто бы сомневался :) За что спихнуть - найдут полюбэ.
| | |
| |
| 4.40, _ (??), 18:23, 22/11/2017 [^] [^^] [^^^] [ответить]
| +/– | |
>мы купим наши дыры
копрорация добра к примеру :-)
| | |
|
|
| 2.23, Аноним (-), 15:55, 22/11/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Очень сомневаюсь что атаковавшие доверели свои персональные данные Uberу.
Номер телефона — тоже персональные данные.
| | |
|
| 1.19, Аноним (-), 14:49, 22/11/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Пост нового СЕО обошелся в 100 килобаксов полагаю.
В целом - мутная история.
| | |
| 1.24, th3m3 (ok), 15:58, 22/11/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 >номера социального страхования
Это им ещё зачем? Бюрократия на ровном месте?
| | |
| |
| 2.78, linuxquestions.ru (ok), 08:32, 27/11/2017 [^] [^^] [^^^] [ответить]
| +/– |
 Это нужно, чтобы передавать данные в IRS (американскую налоговую). SSN нужен только для американских водителей, у обычных пользователей такое не спрашивают.
Я так понимаю, что Uber своих водителей считает работниками по контракту с почасовой оплатой. В таком случае есть специальная форма о получении доходов (W2 или какая-то еще). В этой форме указано, сколько человек заработал. Он потом с этих денег заплатит налог.
В США с налогами очень жестко, за неуплату некоторых даже в тюрьму сажают. Поэтому убер и автоматизирует все мелочи вроде страховок, налогов и прочей ерунды.
| | |
|
| 1.28, Аноним (-), 16:32, 22/11/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
я наверное ничего ни в чем не понимаю, но во обьясните мне -- за что уволили юриста? Компания вроде бы сделала все что было в их силах чтобы защитить интересы пользователей, дипломатически все разрешили. Или я неправ?
| | |
| |
| 2.30, EHLO (?), 16:37, 22/11/2017 [^] [^^] [^^^] [ответить]
| +/– |
сделала все что было в их силах чтобы защитить интересы пользователей, дипломатически все разрешили. Или я неправ?
В интересах пользователей было узнать что их данные утекли.
| | |
| |
| 3.31, Аноним (-), 16:48, 22/11/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
утекли, но потом удалились, как я понял, и не использовались во вред пользователям
| | |
| |
| 4.32, EHLO (?), 16:59, 22/11/2017 [^] [^^] [^^^] [ответить]
| +/– |
> утекли, но потом удалились, как я понял, и не использовались во вред
> пользователям
их пообещали удалить. Ты бы поверил, если бы данные твоей карты утекли, или заблокировал бы ее?
| | |
| 4.71, Аноним (-), 14:20, 23/11/2017 [^] [^^] [^^^] [ответить]
| +/– |
одни исследователи безопасности нашли эти данные в открытом доступе, значит и другие могли найти. а пользователи и не знают что их данные убер слил.
| | |
|
|
| 2.36, пох (?), 17:38, 22/11/2017 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> -- за что уволили юриста? Компания вроде бы сделала все что
за излишнюю ревность в спасении репутации. Которая от этого хода не улучшилась, и вполне могла резко ухудшиться, когда, рано или поздно, кто-нибудь все же проболтается, или внезапно выяснится, что скопировать репу успели и еще какие-то ребята, не только те что заявили, а вот от нынешнего - вполне.
> было в их силах чтобы защитить интересы пользователей, дипломатически все разрешили.
нет, интересы компании. Интерес пользователя - узнать что его данные сперли, и чем быстрее, тем лучше.
| | |
| |
| 3.43, _ (??), 18:48, 22/11/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> -- за что уволили юриста? Компания вроде бы сделала все что
>за излишнюю ревность в спасении репутации.
Да брось. Банальная зачистка. Когда угонят уже у нового СЕО - будет всё то же самое :-\
И главное - ни пол бакса они на этом не потеряли. Всё остальное - пена. Репутация-шмапутация ... Бог един и это - бАблос!(С)Пелевин :)
| | |
| |
| 4.57, пох (?), 21:22, 22/11/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Да брось. Банальная зачистка.
ну ты же понимаешь, что если бы не был ни в чем таком замешан - пришлось бы либо платить отступное, либо оставить в покое, даже при очень большом желании избавиться.
И наоборот - покрывать его новому CEO - значит рисковать уже самому вляпаться в зависимость от его тайных знаний.
> Когда угонят уже у нового СЕО - будет всё то же самое :-\
совершенно не факт. Новый может пойти совсем другой дорожкой, решая те же проблемы иначе.
Ну, или, при удаче и заинтересованности - предотвращая до перехода в критическую стадию.
Это совершенно не должно помешать его основной работе - делать деньги методом тотальной слежки за своими клиентами (кто-то, помнится, недавно рассказывал об интересном применении battery api ;-)
Даже и наоборот - чем больше клиенты доверяют, тем охотнее они все о себе сольют ;-)
> И главное - ни пол бакса они на этом не потеряли. Всё
они в этом случае скорее приобрели.
| | |
|
|
|
| 1.58, Lolwat (?), 22:21, 22/11/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Сколько раз уже это было сказано, но что в лоб что, по лбу, не храните пароли, тоЛкины, ключи, и вообще хранить конфиги в одно месте с кодом это очень глупая затеря.
Я ради прикола искал проекты на GitHub по ключевым словам типа “ssh”, потом смотрел содержимое коммитов на предмет ssh ключей и паролей.
Потом оставлял им неприличное сообщение в /etc/banner и удалял репозитории (если ключи или пароли работали на GitHub)
| | |
|
