В этом выпуске: 00:00 - Несколько эпичных провалов в безопасности, случившихся недавно у крупных компаний. 15:27 - Как невинное изменение сломало Ruby on Rails и ряд других библиотек. 26:00 - Bonus тема: Что делать с токсичным сотрудником? Спикеры: Сергей Туркин, TPM Павел Дмитриев, Senior Software Engineer Константин Мирин, СЕО Дата записи подкаста: 14.04.2021
Несколько эпичных провалов в безопасности, случившихся недавно у крупных компаний.
1) Ubiquity, известный разработчик “просьюмерских” раутеров ещё в начале января заявила о “небольшом инциденте с безопасностью, который уже решён”. На деле же оказалось что злоумышленники получили полный доступ к инфраструктуре компании в AWS и другим критическим ресурсам. Забавнее всего, что это было сделано через взлом аккаунта LastPass одного из ведущих разработчиков, содержавшего все необходимые ключи и секреты. По словам инсайдера, злоумышленники получили доступ ко всем бакетам S3, логам, базам данных, аккаунтам пользователей и даже секретам для доступа на пользовательские устройства. В сети компании были установлены несколько виртуальных машин и бэкдоров для доступа в сеть. Когда сотрудники компании обнаружили активность и вычислили один из бэкдоров, хакеры потребовали 50 биткойнов за информацию о втором бэкдоре. Платить им не стали и в итоге нашли его сами. Хотя кто знает, а было ли их всего два.
Особое возмущение общественности вызвал тот факт что Ubiquity преуменьшили масштаб проблемы из опасения что это негативно повлияет на курс акций, и просто рекомендовали пользователям сменить пароли вместо того чтоб сбросить их принудительно.
2) Вторая новость того же порядка: в интернете выложили данные о 533 миллионах пользователях Facebook из 106 стран — данные включают телефоны, имена, адреса, даты рождения и для некоторых email-адреса. Многие из этих данных продолжают оставаться актуальными, что явно сыграет на руку скамерам и другим мошенникам. Забавно то, что в утекших данных есть и частичная информация об аккаунте Цукерберга. В Facebook заявили что эти данные — результат утечки 2019 года, которая “давно была устранена” и, судя по всему, не собираются уведомлять пострадавших пользователей, несмотря на то, что законы Евросоюза и Калифорнии прямо и непосредственно требуют это сделать.
3) Третья новость звучит как сценарий какого-то киберпанка, но это — не чья-то фантазия, а факт. ФБР в США получили разрешение от суда и начали операцию по "активному противодействию" распространению malware на тысячах серверов с Microsoft Exchange пострадавших недавно от уязвимостей. Проще говоря, хакеры-разведчики из ФБР будут вламываться на пострадавшие сервера и удалять последствия работы хакеров-шпионов.
Как невинное изменение сломало Ruby on Rails и ряд других библиотек.
Одной из важных зависимостей RoR является gem mimemagic, выпущенный под лицензией MIT. Оказалось, что этот gem в свою очередь зависит от стороннего кода, выпущенного под лицензией GPLv2. Разработчик gem-а решил устранить нарушение GPL (как все мы помним, она относится к “вирусным” лицензиям) и перевыпустил его под GPLv2, удалив попутно старые версии библиотеки под MIT лицензией. Это ожидаемо привело к поломке многих популярных библиотек, в том числе и Ruby on Rails. Последовало предложение хотя бы временно вернуть старые версии библиотеки, чтоб восстановить работоспособность, но автор mimemagic отказался это сделать. После некоторых раздумий, команда RoR заменила зависимость в своей библиотеке на mini_mime, но последствия некоторым командам программистов по всему миру приходится расхлёбывать до сих пор.
Bonus тема: Что делать с токсичным сотрудником?
Что делать руководителю проекта (команды, компании), если один из ключевых разработчиков оказался очень плох по софт-скилам и своей токсичностью отправляет жизнь других членов своей команды?