vic799 (vic799) wrote in war_tundra,
vic799
vic799
war_tundra

Category:

Если вы не отзоветесь, мы напишем... в Спортлото!

Оригинал взят у vic799 в Если вы не отзоветесь, мы напишем... в Спортлото!

Как известно где-то недельку назад на дваче был опубликован в публичном доступе алгоритм шифрования логов той самой игры. Публиковалось это как пруф по обману с дамаг моделью, но написать по опубликованной информации распаковщик - не составляло труда.

Посмотрев в распакованные логи - обнаружились интересные ньюансы, о которых умолчали хакеры, а именно регистрационные e-mail пользователей. Причина по которой хакеры умолчали о проблеме очевидна, получение регистрационных e-mail адресов - первый шаг к взлому аккаунтов или фишингу. Кроме того наличие этой утечки говорит о возможности дополнительных нарушений в безопасности.


Выкладывать такой прикол в открытый доступ не стоило, а потому пришлось писать ответственному сотруднику.

kulikov__1

Правда никакой реакции не последовало, у сообщения стоял статус "не прочитано". Честно прождав полдня, пришлось развивать бурную деятельность по поиску других сотрудников компании. Найденный сотрудник тему прочитал, правда сказал, что он не по этой части, но передаст информацию кому следует.

Для того что-бы выпустить хотфикс - требовалось, потратить 20 минут, но не тут то было. У наших разработчиков это заняло не меньше двух дней, и при этом сделать это правильно они все равно не смогли.

kulikov__2

Поскольку "контакт" мой был не по этой части, то пришлось попросить его дать координаты человека, который по "этой части", но тут внезапно произошел затык. Контакт вдруг стал очень не дружелюбным и мне было предложено общаться с Куликовым, который до сих пор (2-3 дня) не соизволил прочитать топик, хотя он неоднократно бывал на форуме за это время. Потому пришлось добиваться ответа от Куликова, который старательно меня игнорировал.

Наконец 4 числа удалось получить ответ от самого Куликова:

kulikov__3

Шикарно, за проявленную бдительность меня радостно посылают на три буквы...

Выводы:
- вот такие у нас профессиональные разработчики, если пользователь имеет свое мнение, то мы будем плевать на его сообщения о даже серьезных багах.
- критическую ошибку исправляемую за 20 минут мы будем исправлять несколько дней даже прекрасно зная о ней.


Послесловие:

Расшифровав лог прямо сейчас - вы можете убедиться, что ситуация от 3-го числа по прежнему на месте, право, зачем исправлять ошибку, когда можно просто написать в EULA, что компания не несет никакой ответственности за утерю вашей личной информации.

У вас еще остались какие-то вопросы почему баги исправляются месяцами?

У вас еще остались вопросы за кого держат тестеров не входящих в "элитную тусовочку"?

Да еще, по поводу хакеров: если вы помните оригинальный метод получения логов с двача, то там тупо изменялась пара байтов в экзешнике ответственных за шифровку, что просто кричит нам, что исполняемый файл не защищен даже контрольной суммой (я уж молчу о большем) А значит любой пионер может курочить его как ему хочется - абсолютно не напрягаясь, предлагаю самостоятельно осмыслить, что это значит в плане защиты от читов.

Дисклаймер:
Расшифровщик вместе с ключем получен по информации найденной в интернете, не распространяется.

Не в моих правилах публиковать частную переписку, потому публикую только необходимый минимум. Дальнейшее разьяснение по поводу "моего стиля" оставило у меня очень нехорошее предчувствие о дальнейшей судьбе проекта, но оно останется в привате.




UPD: да, пост написан естественно в заботе о решении ситуации, т.к. дальнейшие попытки довести исправление уязвимости до конца не увенчались успехом.
Subscribe
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 61 comments
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →