хакер
#программирование

Хакер нашел применение Blockchain

Много в свое время говорили про Blockchain, да и сейчас наши деды иногда вспоминают это слово. Обещали, что вся эта технология поможет нам стать наконец свободным людьми и избавиться от централизованного контроля. Однако, на деле все вышло немного по-другому. Вся эта многообещающая штука скатилась с биржу типа форекс, где серьезные дядьки с большими портфелями могут менять доллары на токены и торговать ими. А еще где-то была кафешка, продающая кофе за биткоины. Но самое лучшее применение blockchain изобрел один (а может, и не один) мамкин хакер, и здесь я хочу рассказать, каков же его взгляд на применение этой замечательной технологии.

Но сначала немного истории

Был у меня один сервис, который лежал в облаке. Это была начальная и пробная версия, что-то вроде PoC, который я постепенно развивал и добавлял в него новые плюшки. И была там база (разумеется, MongoDB, я же не лох, чтобы использовать реляционные БД), которая лежала портами прямо наружу. В интернет. В самой базе ничего важного не было, но суть не в этом.

И вот однажды…

Захожу я в приложение и не вижу данных. Как вы уже догадались, идея светить базой во всемирной сети Интернет была не самой лучшей. В общем, вместо моих тестовых  и никому не нужных данных я обнаружил такое вот сообщение:

To recover your lost Database and avoid leaking it: Send us 0.06 Bitcoin (BTC) to our Bitcoin address 1BLYhUDmnmVPVjcTWgc6gFT6DCYwbVieUD and contact us by Email with your Server IP or Domain name and a Proof of Payment. If you are unsure if we have your data, contact us and we will send you a proof. Your Database is downloaded and backed up on our servers. Backups that we have right now: <db1>, <db2>. If we dont receive your payment in the next 10 Days, we will make your database public or use them otherwise.

Короче говоря, хакеры нашли единственное нормальное применение Blockchain. А именно: клянчить деньги.

хакер
Что произошло

Если честно, я даже возгордился находчивостью того хакера. Суть в том, что он просто обходит публичные айпишники по дефолтным для монги портам (27017) и, если базы не защищены паролями, крадет их данные. Если защищены, то он не парится с подбором и идет дальше.

Сердиться на хакера я не стал, я просто начал громко на него ругаться плохими словами. Вместо этого рассердился на себя и велел себе сделать все как надо.

Краткая мораль

Даже если вы пишете pet-project для каких-то своих нужд или же просто чтобы попробовать ту или иную технологию, не стоит относиться к нему совсем легкомысленно. Я не стал защищать базу изначально, потому что «да кому там нужны эти тестовые данные» и потому что решил сосредоточиться в первую очередь на функциональности. За это и поплатился. 

Да, я ничего не потерял, но мораль такова: даже если вы пишете тестовый и никому не интересный проект, подумайте о его защите. Помните о том, что за вашими ресурсами постоянно следят. Не ленитесь и сделайте все по уму, а затем уже добавляйте функциональность. Не надо тратить время хакеров и давать им лазить в свои базы, даже если они совсем пустые.

Кстати, и не используйте простые и одинаковые пароли для всех своих аккаунтов. Они тоже регулярно перебираются такими вот хакерами.

Понравилось? Подписывайтесь на меня в соцсетях!

 
Facebook
Twitter
VK
guest
0 Комментариев
Inline Feedbacks
View all comments
Social media & sharing icons powered by UltimatelySocial
0
Нравится? Оставьте комментарий!x
()
x