A Fork of Trust: Розбираємо кейс Altegio. Чому історія про «хороших росіян» не скасовує ризиків для безпеки

За традицією disclaimer: Я юрист, не девопс і не аудитор безпеки. Мій аналіз — це оцінка ризиків на основі OSINT. Код не бачив, свічку не тримав.

Привіт, спільното!
Нещодавно відводив свого дворічного сина в перукарню і знову задумався над роботою наших барбершопів. Багато хто чув про міграцію українського б’юті-бізнесу з російської YCLIENTS після початку повномасштабного вторгнення. Але куди? Часто — на Altegio. Їх легенда звучить круто: «Ми — екскоманда YCLIENTS, ми проти війни, ми виїхали, зареєструвались в Будапешті, хостимось на Hetzner і топимо за Україну».

Окей, звучить як ідеальний сценарій. Але як людина, що професійно займається ризиками, я бачу декілька червоних прапорців, з якими я прошу допомогти розібратись, оскільки у авторів та коментаторів на цьому форумі точно більше технічних скілів та інсайтів:

1. The Codebase DNA. Основне питання: це повний рефакторинг з нуля чи просто ребрендинг з допиляними фічами на старій кодовій базі YCLIENTS? Якщо друге, то весь технічний борг, потенційні бекдори та логіка, закладена в РФ, залишаються. Без незалежного source code audit це «чорна скринька» з наявними ключами у всіх відомих VK (читати як російські спецслужби). Чи можливо перевірити безпеку без доступу з правами адміна?
2. The «Budapest datacenter» fallacy. Як на мене реєстрація юрособи в Угорщині та сервери в Німеччині не мають жодного стосунку до того, хто має адмінський доступ до бази даних. Чи я помиляюсь?
3. The Human Vector. Це найслабша ланка. Уявіть, що ви — ключовий розробник з родиною в РФ. Один дзвінок з Луб’янки і ваші принципи проходять найжорсткіший у світі краш-тест. Чи готові ви ризикувати даними українців, покладаючись на чиюсь стійкість? Те, що розробники і власники поїхали з рф не означає що там не залишились звʼязки, власність і т.і. Чи варто довіряти розробникам і власникам проагрманого забезпечення або сервісів персональні дані українців лише тому що вони виїхали з рф?

До чого я? Вчора просто планував написати ці тези для своїх знайомих, які активно користуються послугами барбер-шопів і не замислюються над тим, що вони самі можуть передавати ворогу інформацію про точне місцезнаходження свої та час перебування за цими координатами. Але коли почав писати, вирішив проконсультуватись з фахівцями (тобто вами, колеги). Як на мене, історія гарна, але вона не замінює сертифікацію безпеки прозору структуру власності. Поки цього немає, довіряти свої дані (і дані своїх клієнтів) продукту з таким бекграундом це гра в російську рулетку.

В свою чергу, прости пошук в інтернеті показав, що є українські альтернативи такі як Appointer, BloknotApp etc. або західні типу Fresha, Booksy, до яких в мене таких питань просто не виникає. Чому наші барбершопи тоді не користуються ними? Цікавіть і тут ваша думкаи :)

Ну і декілька картинок від ШІ на цю тему: