реклама
разместить

Зачем LiveDune отдали 800 тысяч хакерам?

Привет, на связи Livedune и мы за то, чтобы быть максимально полезными. В этом блоге будем делиться своими историями, рассказывать не только об успехах, но и фейлах, приглашать к обсуждению трендовых тем.

Чтобы не тратить ваше драгоценное время, перейдем к заявленной в заголовке теме. Итак, зачем же мы занесли 800 тысяч рублей хакерам?

13 января в 1:44 ночи нам пришло письмо от Facebook:

“Спасибо за дополнительную информацию. От вас больше не требуется никаких действий для “Оценки защиты данных” <...>

Это значило, что забег длиною в три месяца остался позади, Facebook оценил нашу защиту данных и позволили работать дальше. Что все это было?

22 июля Facebook запустил оценку качества защиты данных . Цель — проверить, как защищают данные пользователей партнеры Facebook. Также эта программа выступает своеобразным фильтром — те приложения, которые не особо активны (т.е. если они банально не отвечают на вопросы) блокируют.

Изначально весь процесс был простой, мы заполнили анкету и отправили на проверку. А в конце октября нам пришел ответ: необходимо было улучшить защиту данных.

Тут и начались сложности.

Что именно нужно улучшить, почему? Непонятно. Начали переписываться с FB и получили расплывчатые требования и кучу ссылок, которые мы начали изучать и делать все по максимуму.

LiveDune всегда был безопасным сервисом т.к. мы не просим логин/пароль от аккаунтов, а авторизации происходит с помощью OAuth через сами соцсети (в отличии от серых сервисов). И мы начали работать — в итоге усилили безопасность всего сервиса сразу в нескольких направлениях. Некоторые вопросы мы хотели уже сделать давно, но вся эта история от Facebook стала своеобразным пинком.

Например, мы заплатили 800 тысяч ребятам из DeteAct (добрые хакеры),

чтобы они провели пентест, т.е. попытались нас взломать, как бы это сделали злоумышленники. Нашли парочку проблемных мест и кучу мелочи. Подправили. И эта обязательная процедура для прохождения проверки FB — тоже своеобразный фильтр.

Что в итоге улучшилось в безопасности по результатам проверки FB:

  • Проведен пентест и будет проводиться на ежегодной основе;
  • Получили сертификат ISO 27001 (международный стандарт по информационной безопасности);
  • Разработаны процедуры по мониторингу и обновлению софта на серверах. На серверной стороне используем Nessus, для еженедельного отслеживания важных обновлений софта;
  • Включено минимальное шифрование TLS 1.2;
  • У всех наших сотрудников включена двухфакторная авторизация по умолчанию. А для доступа в админку используется трехфакторная авторизация;
  • Клиенты могут включить двухфакторную авторизацию на сервисе;
  • Раньше у нас можно было установить любой пароль из 6 символов, теперь же требования к паролям куда жестче. Минимум 8 символов, наличие цифр, букв и т.д.
  • В паре мест пользователь мог увидеть в адресной строке свой токен. Это не является особой проблемой, но мы скрыли токены абсолютно везде;
  • У нашего саппорта и разработчиков есть инструменты для проверки прав у токенов и проверки ответа API. Например, мы передавали сюда https://developers.facebook.com/tools/debug/accesstoken/ токен пользователя и смотрели на права. Теперь у нас есть свой инструмент для этого, т.е. наши сотрудники не имеют доступа к токену, видят только результат. Аналогично и для проверки работы с API, раньше формировался URL, по которому мы могли смотреть результат выполнения. А теперь внутренний инструмент дает результат, и не показывает токен;
  • Мы сами везде используем двухфакторную авторизацию в важных местах, сейчас активнее следим и за нашими сотрудниками.

Зачем мы об этом всем рассказываем?

Facebook с каждым днем изобретает все новые способы делать работу своих партнеров прозрачнее. Все это исключительно в интересах пользователей. Эта проверка — еще один важный пункт в усилении работы нашей платформы и доказательства того, что сервис LiveDune — белый. Если бы мы ее не прошли, у нас просто-напросто забрали доступ к API. Оценка коснулась не всех компаний, а только крупных, у кого много подключений через авторизацию FB. Возможно, в следующем году будет новый этап, когда будут проверять компании поменьше.

Как думаете, заказывать себе пентесты за 800 к — это лишнее или все же необходимая процедура для таких компаний, как наша?

22
реклама
разместить
Начать дискуссию
Госдума ужесточила наказание за продажу детям табачной продукции и вейпов

Штрафы для физлиц составят до 300 тысяч рублей, для юрлиц — до 2 млн.

55
11
реклама
разместить
Дональд Трамп ограничил получение гражданства США по праву рождения

Генпрокуроры Калифорнии и Нью-Йорка намерены оспорить решение президента.

Donald Trump / X
1010
77
44
44
Где же теперь элитные россияне будут рожать детей… неужели в России. Какой ужас
В приложении ChatGPT для macOS нашли настройки управления компьютером от имени пользователя

В 2024 году Bloomberg писало о планах OpenAI выпустить ИИ-агента Operator в январе 2025-го.

Скрытые настройки сочетаний клавиш для управления ИИ-агентом Operator. Источник: <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fx.com%2Fbtibor91%2Fstatus%2F1881110210867290191&postId=1765849" rel="nofollow noreferrer noopener" target="_blank">Тибор Блахо</a>
 
88
Правительство разработало процедуру конфискации иностранного имущества в России — СМИ

Как компенсацию — в обмен на передачу кому-либо замороженных российских активов.

Правительство разработало процедуру конфискации иностранного имущества в России — СМИ
99
66
33
22
11
11
11
мда, жэсть. конфискуют особняк Байдена в Анапе
Дональд Трамп отменил указ Байдена о мерах безопасности в области ИИ — он обязывал компании делиться с правительством результатами тестов
1919
1212
22
22
22
Вместо этого заставит все ИИ говорить, что Мексиканский залив теперь Американский
VK и ВШЭ запустили «Школу информатики, физики и технологий» для подготовки разработчиков и специалистов в сфере ИИ

Набор студентов откроют в 2025 году.

1717
55
Трамп подписал указ об отсрочке «запрета» TikTok на 75 дней и пригрозил Китаю пошлинами в случае отказа от «хорошей сделки» с США

За время отсрочки президент страны хочет «определить адекватный курс действий».

Глава TikTok Чу Шоуцзы. Источник фото: FT
1616
44
33
11
«Мегамаркет» отменит для продавцов плату за вывоз товаров с закрывающихся складов — Shopper’s

Маркетплейс закрывает их по собственной инициативе.

Источник фото: AdIndex
66
11
[]