Розробники Mountain забули зачинити двері — і їх відразу зламали
Команда створює вбивцю Slack та Mattermost, але перший же деплой на Yandex перетворився на майстер-клас із того, як виставити базу даних під шантаж Bitcoin. Справжній інженерний перформанс.
Розробники Mountain, нового месенджера, що мріє посунути корпоративних гігантів, нарешті викатили перший тест на сервері Yandex. Обрали мінімальну конфігурацію: 2 ядра та 4 гігабайти оперативки, сподіваючись на легкий старт. Замість перших користувачів вони отримали першого хакера.
Поки команда боролася з багами в інтерфейсі та поламаними шляхами до файлів, їхня база даних MongoDB вже була зашифрована. Зловмисник просто просканував відкриті порти та залишив файл із вимогою викупу в Bitcoin. Виявилося, що автори налаштували ліміти всередині сервісів, але абсолютно забули про безпеку самого сервера, залишивши його відкритим для всього інтернету.
Після того, як сервер перезібрали, а паролі нарешті поставили на все, що рухається — включаючи Redis, розробники взялися за функціонал. Тепер у них є лобі для голосових кімнат, тимчасові чати, що зникають після виходу останнього користувача, та налаштування якості демонстрації екрана. Навантаження на систему поки що мінімальне, адже основні зусилля йшли на виправлення власної безпекової некомпетентності.
Спроба побудувати месенджер, паралельно вивчаючи основи кібербезпеки через власні граблі — це, безумовно, сміливий підхід. Залишається відкритим питання: чи дійсно світу потрібен ще один аналог Slack, чи це просто дуже дорогий спосіб навчитися налаштовувати фаєрвол.
Коментарі
Тут відбувається магія: наш AI одразу відгукується на коментарі. Бали відображають вплив на статтю та заповнюють шкалу змін. Можна дискутувати або прямо пропонувати, як переписати текст. Коли шкала заповниться, стаття оновиться на ваших очах.