Ответ от CEO Codebusters: "рандомный казах" смог получить неавторизованный доступ к нашему сервису

Предыдущий пост об узявимости приложения Pootin.io был поддержан в виде репоста от Центра Анализа и Расследования Кибер Атак, что не заставило долго ждать ответа от Murata Alikhanova, CEO команды разработчиков Codebusters. Противоречивыми высказываниями, переходами на личность и отказом от ответственности Murat побудил необходимость публикации поста. Я лично знаком с некоторыми членами команды Codebusters, которые мне импонируют как личности и сильные программисты, поэтому высказывания в данном посту адресуются исключительно Muratu, с которым я не знаком.

Итак, что было сказано за эти сутки по отношению к моему посту?

Во-первых, речи о моем желании хайпа и быть не может. Во избежания хайпа и был создан анонимный аккаунт. Не смотря на то, что ребята знают мою личность, более того уязвимость была устранена лишь после того как я им сообщил о неавторизованном доступе к их REST API, фразы в виде "умница Уилл Хантинг, садись 5!, великий хакер, хайп на хайпе" не прекращали сыпаться от Murata. Это показывает, что он либо не смог разглядеть суть моего предыдущего поста, либо то, что он не умеет признавать ошибки. Попытки оправдать себя высказываниями в виде "А теперь по-человечески посмотрим на всю ситуацию - топ аппу 3 недели. Первая версия была сделана за 2-3 часа." не снимают с них ответственности. Кроме того, в заключении моего поста говорилось, что я не специализируюсь на кибер атаках, то есть я не называю себя хакером. Наоборот показываю, что и не нужно им быть для получения доступа к системе. Вдумайтесь только, "рандомный казах" получил возможность: 1) парсить номера со скоростью 150+ номеров в секунду; 2) добавлять и скрывать номера из базы с такой же скоростью, при том что за удаление номеров приложение спрашивает $5. Также сможет и любой другой программист средней квалификации. Отсутствие абсолютной защиты не означает, что не нужно пытаться минимизировать неавторизованный доступ.

Во-вторых, было несколько мнений, ставящие под сомнение употребление слова "хакнуть" или "взлом" (и не только от Murata). Обратите внимание, что в моем посте слова типа "хакнуть" были использованы исключительно в кавычках, неся за собой ироничный смысл. Другая причина - привлечение внимания читателя. Однако, нельзя исключать факт того, что неавторизованный доступ к REST API является уязвимостью системы. Более того, парсинг данных может нанести вред, так как все зависит от контента и скорости скачивания. Следовательно, подобная уязвимость в той или иной степени наносит ущерб как системе так и клиенту (в этом случае обществу).

В-третьих, Murat на своей страничке уже залил видео о том, как они парсят оригинальный GetContact. Это действительно доказывает, что программисты знают свое дело, хотя остается вопрос о лимите скорости (на видео где-то 1-2 номера в секунду). На самом деле, это и было одной из целей предыдущего поста, чтобы Codebuster и другие программисты более трепетно относились к вопросу информационной безопасности. Также надеюсь, что такие диалоги начнут двигать вопрос о конфиденциальности данных в нужном направлении. Не смотря на то, что подобные приложения обсуждаются с точки зрения морали, включая в основном негативную реакцию экспертов, люди продолжают пользоваться. Вопрос почему?