А які у вас найкурйозніші випадки дрібного хакерства?
Розповім про смішний випадок, який стався під час однієї з подій на нашій платформі ⬇️
Передісторія:
Ми з командою розвиваємо платформу для спільнот і подій Kommunity (аналог Meetup та Eventbrite). Для всіх наших організаторів ком’юніті ми також створили інший продукт, про який і піде мова, — платформа для трансляції KLive.
Зазвичай, доступ до платформи KLive є лише у ком’юніті, які розміщаються на Kommunity, тому що відбувається валідація учасників через реєстрацію у події.
Але, від однієї класної української конференції отримали запит на платформу із зовнішньою базою учасників і вирішили, що можна попрацювати в такому ключі теж, адже конференція вже реалізовувала свої квитки на іншому сервісі і шукала саме сервіс трансляції.
Запит був наступний: доступ лише учасникам зі списка організаторів (основне) та щоб вони не могли ділитися посиланням на трансляцію (конференція платна).
Було вирішено: створити подію на Kommunity, але з правом долучитися до неї лише учасникам зі списку організатора.
Ми додавали списки учасників в ручному режимі (поки немає авто завантаження, але вже пишемо) напередодні події і у день події, якщо хтось купив квиток. Тому ми особисто контролювали, які акаунти мають доступ до події.
Все йшло добре, поки наш менеджер не отримала дуже дивне повідомлення від організатора, що хтось пише повідомлення в чаті трансляції від його імені 😳
Виключили можливість доступу до нашої бази даних та пішли перевіряти активніть акаунту:
- ми побачили, що користувач увійшов у систему за допомогою google (це означало, що на нашій платформі акаунт не має створеного паролю і просто маючи email користувача зайти неможливо). Тож проблему зламу саме через Kommunity відкинули.
- нові токени продовжували створюватися, навіть попри те, що ми скасовували їх дійсність
- ми побачили, що користувач намагається отримати нові токени доступу за допомогою оновлення
- було змінено електронну адресу облікового запису, щоб зберегти доступ.
- користувач міг отримати токен доступу на облікових записах Gmail або Kommunity, що залишилися відкритими на публічних девайсах. На прохання організатора ми очистили весь слід користувача
Про зламаний Gmail акаунт організатора ми, звісно, повідомили.
Але сюрпризом у цій ситуації для нашої команди стало навіть не те, що хтось зламав Gmail акаунт, щоб не платити 35 долларів за конференцію, а те, що зламник дійсно сподівався залишитись непомічений, ставлячи питання від організатора 😅
Бережіть свої Gmail акаунти та діліться, які у вас були найкурйозніші випадки дрібного хакерства?
23 коментарі
Додати коментар Підписатись на коментаріВідписатись від коментарів