Elérte egy hacker a Prezi forráskódját + Prezi reagálás

A 444-en olvastam az alapsztorit. Itt van az eredeti bejegyzés is. A srác egy publikus repóban talált egy configfájlt, mely egy felhasználónevet és jelszót is tartalmazott, amivel elérte a Sonatype Nexusban kezelt forráskódot. 

A hacker azért posztolta az egész történetet, mert a hibakeresésre meghirdetett 500 dollárt nem akarja kifizetni neki a Prezi. Amúgy a sztoriban persze nem ez az igazi izgalom. Hanem az, hogy a hacker csávó lementette-e magának a Prezi forráskódját, mielőtt értesítette a céget, vagy sem.

Ez a lényegi információ nem derül ki a posztból. De nem lennék meglepve, ha felkerülne a torrentszájtokra a fájl. Mint ahogy az 2 éve egy másik magyar kötődésű cégnél, a Gawkernél is megtörtént

A Gawkert is nyilván nagyon kényelmetlenül érintette a forráskód és a felhasználói adatok kikerülése. Ők akkor az egyetlen okos dolgot reagálták, amit szerintem reagálni lehet egy ilyen helyzetben: fogták magukat, és nulláról újragondolták az egészet, és nekiültek írni egy még sokkal jobb kódbázist.

Ráadásul ez a történet lendítette a Gawkert a php-tól a Scala felé. Szóval felrázta őket a sztori és egy sor pozitív dolgot is előhozott. Fogták magukat, és előremenekültek. Gondolom a forráskódra is eggyel több lakattal vigyáznak azóta. 

UPDATE // Közben sikerült beszélnem Halacsy Péterrel, a Prezi CTO-jával, és több dolgot is mondott az ügyről. Gyakorlatilag az első mondata az volt, hogy "hibáztunk". Azt is mondta, hogy felülvizsgálják a Bug Bounty programukat, és minden olyan esetben fizetni fognak, amikor olyan hibát talál valaki, aminek következtében nekik változtatniuk kell a kódbázisukon. Külön beszélt a hackerről is, aki felé a tartozásukat ki fogják egyenlíteni, "és egy bocsánatkéréssel is jövünk neki".

Azt is elmondta, hogy a hacker a forráskódnak csak egy részéhez tudott hozzáférni. Például a felhasználók személyes adataihoz nem. Szóval a helyzet nem végletesen súlyos - ezt már én mondom, nem ő -, de mindenesetre a szavaiból azt vettem ki, hogy levonták a megfelelő következtetéseket ebből a sztoriból, és változtatnak. 

Úgy beszélt erről az egészről, ahogy egy cég alapítójának kell, amikor a cége hibázik. Szimpatikus ember. Remélhetőleg a történet után tényleg keményebben ráfekszenek az alapértékeik (így a forráskódjuk, felhasználói adataik) védelmére. 

Címkék: prezi.com prezi forráskód meghekkelt prezi gawker forráskód prezi repo source
2013.12.03. 20:35. írta: hírbehozó

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.