Хакер нашел применение Blockchain
Много в свое время говорили про Blockchain, да и сейчас наши деды иногда вспоминают это слово. Обещали, что вся эта технология поможет нам стать наконец свободным людьми и избавиться от централизованного контроля. Однако, на деле все вышло немного по-другому. Вся эта многообещающая штука скатилась с биржу типа форекс, где серьезные дядьки с большими портфелями могут менять доллары на токены и торговать ими. А еще где-то была кафешка, продающая кофе за биткоины. Но самое лучшее применение blockchain изобрел один (а может, и не один) мамкин хакер, и здесь я хочу рассказать, каков же его взгляд на применение этой замечательной технологии.
Но сначала немного истории
Был у меня один сервис, который лежал в облаке. Это была начальная и пробная версия, что-то вроде PoC, который я постепенно развивал и добавлял в него новые плюшки. И была там база (разумеется, MongoDB, я же не лох, чтобы использовать реляционные БД), которая лежала портами прямо наружу. В интернет. В самой базе ничего важного не было, но суть не в этом.
И вот однажды…
Захожу я в приложение и не вижу данных. Как вы уже догадались, идея светить базой во всемирной сети Интернет была не самой лучшей. В общем, вместо моих тестовых и никому не нужных данных я обнаружил такое вот сообщение:
Короче говоря, хакеры нашли единственное нормальное применение Blockchain. А именно: клянчить деньги.
Что произошло
Если честно, я даже возгордился находчивостью того хакера. Суть в том, что он просто обходит публичные айпишники по дефолтным для монги портам (27017) и, если базы не защищены паролями, крадет их данные. Если защищены, то он не парится с подбором и идет дальше.
Сердиться на хакера я не стал, я просто начал громко на него ругаться плохими словами. Вместо этого рассердился на себя и велел себе сделать все как надо.
Краткая мораль
Даже если вы пишете pet-project для каких-то своих нужд или же просто чтобы попробовать ту или иную технологию, не стоит относиться к нему совсем легкомысленно. Я не стал защищать базу изначально, потому что «да кому там нужны эти тестовые данные» и потому что решил сосредоточиться в первую очередь на функциональности. За это и поплатился.
Да, я ничего не потерял, но мораль такова: даже если вы пишете тестовый и никому не интересный проект, подумайте о его защите. Помните о том, что за вашими ресурсами постоянно следят. Не ленитесь и сделайте все по уму, а затем уже добавляйте функциональность. Не надо тратить время хакеров и давать им лазить в свои базы, даже если они совсем пустые.
Кстати, и не используйте простые и одинаковые пароли для всех своих аккаунтов. Они тоже регулярно перебираются такими вот хакерами.
Понравилось? Подписывайтесь на меня в соцсетях!