Работа над ошибками: отчет IT-отдела команды Навального
21 июля хабра-пользователь grumpysugar опубликовал статью о найденной им уязвимости в инфраструктуре нашей команды. Уязвимость действительно существовала, и мы ее устранили. Но если вы видите информацию о новых утечках из нашей базы данных, знайте, что это обычный вброс, не имеющий ничего общего с реальностью. В этом посте мы объясняем, почему.
Сразу хотим отметить, что пользователь заблаговременно с нами связался через саппорт месяц назад. Мы эскалировали проблему, устранили ее в первые же минуты после обнаружения и отправили пользователю ответным письмом благодарность и отчет о произошедшем.
Во время работ по инфраструктуре была допущена ошибка, и дашборд Kubernetes WebView, который наша команда разработки использует для отладки приложений, стал доступен по одному из наших известных почтовых доменов (на самом деле все домены, которые ресолвились в этот IP-адрес, но не имели своего сервиса, попадали на Kubernetes WebView, потому что он стал default backend).
Ошибка была допущена буквально в одной строчке yaml-конфига. В настройках явно не объявлено поле host, которое ограничило бы, на каком хостнейме работает сервис. В связи с этим сервис оказался доступным на хосте, который явно был не перечислен в других сервисах.
rules:
- host: #
Похожие новости
- Запущен ещё один бесплатный сервис для проверки текстов на соответствие закону об англицизмах
- Рейтинг Рунета выпустит первый рейтинг компаний, занимающихся продвижением в нейросетях
- SD-WAN + NGFW: почему разрыв между сетью и безопасностью обходится дорого
- Феномен OpenClaw: почему инженерная обвязка стала важнее нейросети
- «А трактор случайно не в залоге?» — история одной интеграции с ФЦИИТ
- Design by Contract в эпоху AI: как контракты Мейера защищают криптографию там, где тесты молчат
- Schnorr/MuSig2 Nonce-Forensics:
- SEBERD IT Base: почему я сделал ещё один сайт про кибербезопасность и зачем
- Приватная Cвязь на Go и Flutter
- Манифест созидателя