Работа над ошибками: отчет IT-отдела команды Навального
21 июля хабра-пользователь grumpysugar опубликовал статью о найденной им уязвимости в инфраструктуре нашей команды. Уязвимость действительно существовала, и мы ее устранили. Но если вы видите информацию о новых утечках из нашей базы данных, знайте, что это обычный вброс, не имеющий ничего общего с реальностью. В этом посте мы объясняем, почему.
Сразу хотим отметить, что пользователь заблаговременно с нами связался через саппорт месяц назад. Мы эскалировали проблему, устранили ее в первые же минуты после обнаружения и отправили пользователю ответным письмом благодарность и отчет о произошедшем.
Во время работ по инфраструктуре была допущена ошибка, и дашборд Kubernetes WebView, который наша команда разработки использует для отладки приложений, стал доступен по одному из наших известных почтовых доменов (на самом деле все домены, которые ресолвились в этот IP-адрес, но не имели своего сервиса, попадали на Kubernetes WebView, потому что он стал default backend).
Ошибка была допущена буквально в одной строчке yaml-конфига. В настройках явно не объявлено поле host, которое ограничило бы, на каком хостнейме работает сервис. В связи с этим сервис оказался доступным на хосте, который явно был не перечислен в других сервисах.
rules:
- host: #
Похожие новости
- Как мессенджеры шифруют сообщения (end-to-end) на самом деле
- Безопасная сборка Docker-образов в CI: пошаговая инструкция
- Доказательный маркетинг©: научный подход, который работает
- Слил $800 на CEX, поднял $2000 на DEX — реальный опыт копитрейдинга в Solana
- Digital-издательство «Русконтент» запустило образовательный проект «Все профессии нужны, все профессии важны»
- Видеть инфраструктуру как хакер. От графа моделирования угроз к алгоритмам, которые находят маршруты атак на нем
- Редакция Spark.ru: Всемирная история торговли в стиле Сатирикона: часть 7. «Батрацкий стартап»
- Информационная безопасность для цифровых кочевников
- Редакция Spark.ru: Как DIY-инструменты и краудсорсинг заменяют профессиональных продюсеров?
- Сравнительный обзор: Shodan, ZoomEye, Netlas, Censys, FOFA и Criminal IP