Архитектура - это унификация жопы, через которую все делается
(с) Д. Стэтхем "Чистый код"
(с) Д. Стэтхем "Чистый код"
Идея для фичи в Дие: потрясти телефонами рядом с кем-то (как в Монобанке) чтобы зарегистрировать брак
😁12👍3🤩2
Forwarded from FEDOROV
День был непростой.
Хакеры атаковали 70 сайтов государственных органов, 10 из которых поддались вторжению, но их контент не был изменён, утечки персональных данных также не было, и не могло быть, это не реестры. Большинство сайтов уже восстановлены и уже работают стабильно.
По требованию СБУ и Госсспецсвязи портал Дія был отключён, чтобы локализировать радиус удара. Приложение Дія работало и работает стабильно.
Причины. Цепь кибератак и получение доступа к админправам компании, которая администрирует атакуемые сайты. СБУ занимается данным вопросом. Гипотезы и обсуждения в Facebook про «не нажали «обновить» в CMS-системе» остались поиском хайпа, в ситуации, где нужно консолидироваться.
Верховный Представитель ЕС по иностранным делам Боррель отметил: «ЕС находится в контакте с Украиной, которая “очень быстро отреагировала” на атаку».
Рада национальной безопасности США заявила, что про кибератаки в Украине проинформирован Байден.
Спасибо всем службам, правоохранительным органам, партнёрам.
Это явная активизация кибер-фронта, и наша команда частично перекинет силы с развития государственных услуг в помощь ответственным органам в направлении построения системы кибербезопасности.
Хакеры атаковали 70 сайтов государственных органов, 10 из которых поддались вторжению, но их контент не был изменён, утечки персональных данных также не было, и не могло быть, это не реестры. Большинство сайтов уже восстановлены и уже работают стабильно.
По требованию СБУ и Госсспецсвязи портал Дія был отключён, чтобы локализировать радиус удара. Приложение Дія работало и работает стабильно.
Причины. Цепь кибератак и получение доступа к админправам компании, которая администрирует атакуемые сайты. СБУ занимается данным вопросом. Гипотезы и обсуждения в Facebook про «не нажали «обновить» в CMS-системе» остались поиском хайпа, в ситуации, где нужно консолидироваться.
Верховный Представитель ЕС по иностранным делам Боррель отметил: «ЕС находится в контакте с Украиной, которая “очень быстро отреагировала” на атаку».
Рада национальной безопасности США заявила, что про кибератаки в Украине проинформирован Байден.
Спасибо всем службам, правоохранительным органам, партнёрам.
Это явная активизация кибер-фронта, и наша команда частично перекинет силы с развития государственных услуг в помощь ответственным органам в направлении построения системы кибербезопасности.
🤮6👍2😱1
Dolboeb-driven Development
https://lb.ua/tech/2019/11/29/443542_rol_kiberbezopasnosti_nemnogo.html
«Я думаю, что роль кибербезопасности немного преувеличена. О ней много говорят, но по факту привести каких-то реальных кейсов киберугроз мало кто может. Приведу простой пример. Когда мы пришли в Офис президента, IT-команда показала дашборды с тысячью атак в день, перегрузкой сайтов и тд. Через две недели мы их уволили, и ничего не происходило на протяжении нескольких месяцев, пока мы собирали новую команду» ©
😁18🤮3👍2
Forwarded from FEDOROV
This media is not supported in your browser
VIEW IN TELEGRAM
⚡️В приложении Дія теперь можно подать годовую декларацию ФОП для 1-3 групп!
Как воспользоваться услугой — смотрите в видео.
Подача годовой декларации для ФОП доступна в несколько кликов, не нужно нанимать бухгалтера, или переплачивать платный сервис. Удобно, быстро и бесплатно. Работаем дальше!
Как воспользоваться услугой — смотрите в видео.
Подача годовой декларации для ФОП доступна в несколько кликов, не нужно нанимать бухгалтера, или переплачивать платный сервис. Удобно, быстро и бесплатно. Работаем дальше!
Охрана отмена - фича работает через раз, а комиссия за оплату ЕСВ - 3%)
Forwarded from ✙rozho)))k✙🇺🇦
Масштабная утечка персональных данных граждан Украины
В ночь на 14 января на некоторые годсударственные сайты Украины была совершена хакерская атака. Много сайтов просто не работали, на части хакеры оставили дефейс с антиукраинской пропагандой.
21 января на сайте с объявлениями о продаже слитых баз появилось объявление в котором предлагали к покупке большую базу правительственного портала "Дія". В качестве доказательств продавец выложил в открытый доступ три архива: дамп базы 100 000 пользователей, 10 гигабайт изображений а так же дамп слабоструктурированных данных в виде JSON записей.
Минцифры Украины, Киберполиция и другие спикеры от власти немедленно заявили о том что эта база является фейком, "Дію" не ломали, то что предлагают купить—это компиляция из старых сливов до 2019 года завёрнутая в фантик, а все кто распостраняют информацию о якобы сливе—это провокаторы и враги государства которые хотят дестабилизировать ситуацию на пороге войны.
Я решил самостоятельно проверить, что же это за такие данные и скачал сэмплы предоставленные продавцом. Первое что меня интересовало—это актуальность данных. В таблице есть: емейл и телефон, дата рождения, ФИО, ИНН, серия и номер паспорта или ИД-карты и другая информация. Среди этой инфы оказалось достаточно много записей с 2020-2021 года.
К большому сожалению, в этой базе я не нашёл себя. Тогда я бы смог заявить что данные настоящие а любой желающий мог бы это проверить, ведь копия базы доступна всем.
Я опубликовал проведённый мной анализ на форуме доу и начали подключаться другие люди.
Один человек обратил внимание на то, что идентификатор userId из слитой базы совпадает с идентификатором который записывается в JWT-токен выдаваемый порталом Дія в момент логина. Он написал инструкцию о том как получить userId из сессии и уже скоро мы имели подтверждение от кучи людей о том, что поиск по их userId в базе выдаёт корректные данные.
Таким образом, можно однозначно утверждать, что слитая база во-первых, как минимум имеет отношение к Дії а во-вторых, была слита недавно, а не является компиляцией.
Анонимный пользователь ДОУ разработал сервис с инструкциями по проверке скомпрометирован ли ваш userId: https://haveiindb.xyz/check.html По userId сайт покажет ФИО и частичные паспортные данные. Вы можете сами убедиться в аутентичности данных. Из-за того, что выборка маленькая (всего лишь около 100 000 записей), то вероятность этого невысокая, но на форуме ДОУ нашлось достаточно людей которые подтвердили корректность.
Для того, чтобы узнать, есть ли ваши данные в семпле и настоящие ли они, вам нужно залогиниться в веб-портал Дія, с помощью консоли разработчика узнать свой userId и вставить его на сайт. userId по идее является деперсонализированной информацией и вряд ли используется где-либо кроме внутренней кухни Дія поэтому его передача (сайту сделанному неизвестным) вряд ли вам навредит. Тем не менее я предупреждаю о том что не являюсь автором этого сайта и не несу за него ответственность.
Кроме персональных, в дампе есть JSON с другими данными. Я перепроверил и могу утверждать, что формат этих данных очень похож на тот, который отдаёт портал Дія. Среди горы файлов есть информация о заявках на получение матпомощи для ребёнка (Є-Малятко) что так же позволяет сделать вывод о том, что база свежая.
Среди скомпрометированных пользователей есть как те, кто логинился на веб-портал Дія, так и те, кто только ставил приложение.
Мне бы очень хотелось чтобы это действительно была фейковая база, но сюдя по имеющимся доказательствам, к сожалению, это не так. Моё предположение—во время хакерской атаки 14-го января злоумышленники получили доступ к приложению, которое находилось в одном контуре с Дієй, и смогли сдампить базу. При этом заявления киберполиции и минцифры о том, что "Дію не ломали" вероятно де-юре правдивое, но для нас, как граждан это не имеет значения—данные утекли в сеть, и неважно, каким путём.
Тем временем государство выбрало тактику замалчивания и отрицания. Я уже дал свой комментарий порталу ДОУ, ждём независимого расследования.
Лайк, шер, репост.
В ночь на 14 января на некоторые годсударственные сайты Украины была совершена хакерская атака. Много сайтов просто не работали, на части хакеры оставили дефейс с антиукраинской пропагандой.
21 января на сайте с объявлениями о продаже слитых баз появилось объявление в котором предлагали к покупке большую базу правительственного портала "Дія". В качестве доказательств продавец выложил в открытый доступ три архива: дамп базы 100 000 пользователей, 10 гигабайт изображений а так же дамп слабоструктурированных данных в виде JSON записей.
Минцифры Украины, Киберполиция и другие спикеры от власти немедленно заявили о том что эта база является фейком, "Дію" не ломали, то что предлагают купить—это компиляция из старых сливов до 2019 года завёрнутая в фантик, а все кто распостраняют информацию о якобы сливе—это провокаторы и враги государства которые хотят дестабилизировать ситуацию на пороге войны.
Я решил самостоятельно проверить, что же это за такие данные и скачал сэмплы предоставленные продавцом. Первое что меня интересовало—это актуальность данных. В таблице есть: емейл и телефон, дата рождения, ФИО, ИНН, серия и номер паспорта или ИД-карты и другая информация. Среди этой инфы оказалось достаточно много записей с 2020-2021 года.
К большому сожалению, в этой базе я не нашёл себя. Тогда я бы смог заявить что данные настоящие а любой желающий мог бы это проверить, ведь копия базы доступна всем.
Я опубликовал проведённый мной анализ на форуме доу и начали подключаться другие люди.
Один человек обратил внимание на то, что идентификатор userId из слитой базы совпадает с идентификатором который записывается в JWT-токен выдаваемый порталом Дія в момент логина. Он написал инструкцию о том как получить userId из сессии и уже скоро мы имели подтверждение от кучи людей о том, что поиск по их userId в базе выдаёт корректные данные.
Таким образом, можно однозначно утверждать, что слитая база во-первых, как минимум имеет отношение к Дії а во-вторых, была слита недавно, а не является компиляцией.
Анонимный пользователь ДОУ разработал сервис с инструкциями по проверке скомпрометирован ли ваш userId: https://haveiindb.xyz/check.html По userId сайт покажет ФИО и частичные паспортные данные. Вы можете сами убедиться в аутентичности данных. Из-за того, что выборка маленькая (всего лишь около 100 000 записей), то вероятность этого невысокая, но на форуме ДОУ нашлось достаточно людей которые подтвердили корректность.
Для того, чтобы узнать, есть ли ваши данные в семпле и настоящие ли они, вам нужно залогиниться в веб-портал Дія, с помощью консоли разработчика узнать свой userId и вставить его на сайт. userId по идее является деперсонализированной информацией и вряд ли используется где-либо кроме внутренней кухни Дія поэтому его передача (сайту сделанному неизвестным) вряд ли вам навредит. Тем не менее я предупреждаю о том что не являюсь автором этого сайта и не несу за него ответственность.
Кроме персональных, в дампе есть JSON с другими данными. Я перепроверил и могу утверждать, что формат этих данных очень похож на тот, который отдаёт портал Дія. Среди горы файлов есть информация о заявках на получение матпомощи для ребёнка (Є-Малятко) что так же позволяет сделать вывод о том, что база свежая.
Среди скомпрометированных пользователей есть как те, кто логинился на веб-портал Дія, так и те, кто только ставил приложение.
Мне бы очень хотелось чтобы это действительно была фейковая база, но сюдя по имеющимся доказательствам, к сожалению, это не так. Моё предположение—во время хакерской атаки 14-го января злоумышленники получили доступ к приложению, которое находилось в одном контуре с Дієй, и смогли сдампить базу. При этом заявления киберполиции и минцифры о том, что "Дію не ломали" вероятно де-юре правдивое, но для нас, как граждан это не имеет значения—данные утекли в сеть, и неважно, каким путём.
Тем временем государство выбрало тактику замалчивания и отрицания. Я уже дал свой комментарий порталу ДОУ, ждём независимого расследования.
Лайк, шер, репост.
😢13👍4
>В продолжение темы слива Алмаз-Антей (российский концерн, объединяющий предприятия, разрабатывающие и выпускающие вооружения для противовоздушной обороны и противоракетной обороны), который хакеры недавно опубликовали на площадке Рейдфорумс.
Наши камунити мемберы решили провести исследование и проанализировали файлы из опубликованного на Рейдфорумс архива (прежде всего, заинтересовали дампы тикетов Редмайна). В результате исследования обнаружены несколько ссылок на некий диск мейл.ру, где был размещен в открытом доступе (!) архив с файликом. Посмотрев этот файлик, наши кибер-космобольцы обнаружили бекап базы mssql, с примерным размером 67ГБ. В обнаруженной базе, кроме прочего, находилась табличка, в которой лежали блобы с файлами.
Написав за пару часов парсер и заполучив файлики, исследователи обнаружили ТЫСЯЧИ всевозможных чертежей, относящихся к заводам по нефтепереработке, военно-промышленному комплексу, скан-копии служебных документов с подписями и много много другой занимательной информации, контакты сотрудников крупных предприятий, спецификации закупок и черт ногу сломит что еще. Энтузиасты структурировали обнаруженную информацию и предоставляют в удобочитаемом виде.
взято тут
Наши камунити мемберы решили провести исследование и проанализировали файлы из опубликованного на Рейдфорумс архива (прежде всего, заинтересовали дампы тикетов Редмайна). В результате исследования обнаружены несколько ссылок на некий диск мейл.ру, где был размещен в открытом доступе (!) архив с файликом. Посмотрев этот файлик, наши кибер-космобольцы обнаружили бекап базы mssql, с примерным размером 67ГБ. В обнаруженной базе, кроме прочего, находилась табличка, в которой лежали блобы с файлами.
Написав за пару часов парсер и заполучив файлики, исследователи обнаружили ТЫСЯЧИ всевозможных чертежей, относящихся к заводам по нефтепереработке, военно-промышленному комплексу, скан-копии служебных документов с подписями и много много другой занимательной информации, контакты сотрудников крупных предприятий, спецификации закупок и черт ногу сломит что еще. Энтузиасты структурировали обнаруженную информацию и предоставляют в удобочитаемом виде.
взято тут
Кажется смарт-контракты это очень боль(
Did I just lose half a million dollars?
Did I just lose half a million dollars?
>In simple words, he should have called a smart contract's function which would withdraw his tokens and send real ETH to his address. Instead, he sent tokens to smart contract's address and they will stay there forever, not associated with any account. This complexity should be abstracted away by wallet's UI. Users don't have to call APIs directly. Also, this whole situation could be prevented by trying to send a smaller amount first.
noduerme 11 hours ago | root | parent | next [–]
I've written middleware APIs for accepting currency in carts and casinos that interfaced with / polled bitcoind and other daemons. Why on earth would this person be calling APIs directly, and why would the daemon not just reject the transaction if it's an unexpected kind of token? Or if he added funds to the contract why not be able to remove them to the same address? I never dealt with smart contracts but even allowing this to happen without an error seems like a crazy, terrible design.
jazzyjackson 10 hours ago | root | parent | next [–]
from the reddit comments, similar question, apparently every instruction adds gas fees to running the contract, so if you're going to use the contract a lot, you leave out any kind of validation.
>> Wow why didn't the contract creators think this through and block requests to the contract
> Because adding that check would increase the cost of every user transaction. All AMM swaps would be done with WETH so it’s the right call to not have it in there
dTal 9 hours ago | root | parent | next [–]
There are, of course, other industries with financial incentives against safety features. We usually regulate them.
We can point and laugh at this one person, but according to the reddit thread they're the 265th person to make this mistake, and more than half of the money in the inaccessible account is not theirs.
GaylordTuring 4 hours ago | root | parent | next [–]
And that's just for this particular token. You can go to just about any token contract and see how numerous people have sent their tokens to the contract address itself.
noduerme 11 hours ago | root | parent | next [–]
I've written middleware APIs for accepting currency in carts and casinos that interfaced with / polled bitcoind and other daemons. Why on earth would this person be calling APIs directly, and why would the daemon not just reject the transaction if it's an unexpected kind of token? Or if he added funds to the contract why not be able to remove them to the same address? I never dealt with smart contracts but even allowing this to happen without an error seems like a crazy, terrible design.
jazzyjackson 10 hours ago | root | parent | next [–]
from the reddit comments, similar question, apparently every instruction adds gas fees to running the contract, so if you're going to use the contract a lot, you leave out any kind of validation.
>> Wow why didn't the contract creators think this through and block requests to the contract
> Because adding that check would increase the cost of every user transaction. All AMM swaps would be done with WETH so it’s the right call to not have it in there
dTal 9 hours ago | root | parent | next [–]
There are, of course, other industries with financial incentives against safety features. We usually regulate them.
We can point and laugh at this one person, but according to the reddit thread they're the 265th person to make this mistake, and more than half of the money in the inaccessible account is not theirs.
GaylordTuring 4 hours ago | root | parent | next [–]
And that's just for this particular token. You can go to just about any token contract and see how numerous people have sent their tokens to the contract address itself.
DatePicker в Android при попытке открыть 31 февраля не выдает ошибку, а открывает 3 марта. Это баг или фича?)
😁4
https://flash.android.com
Официальная тулза гугла, позволяющая перепрошить телефон с браузера (по USB) не устанавливая ничего на комп. По моему это пиздец)
Официальная тулза гугла, позволяющая перепрошить телефон с браузера (по USB) не устанавливая ничего на комп. По моему это пиздец)
Forwarded from FEDOROV
Держава у смартфоні — для всіх! Переваги цифрової держави мають бути доступні всім, незалежно від віку. Незабаром усі громадяни України, старші 60 років, отримають від держави безкоштовний, якісний, сучасний, швидкий смартфон і пільговий тариф.
🔥4😁1🤔1
Боже, только что был такой пиздец) Я был на грани эпичнейшего фейла. Думал такое только в фольклорных кулстори бывает)
Я в данный момент ищу разрабов на апворке, и соответственно поназначал кучу коллов. В конце дня, задолбавшись от этого всего, зашел на колл с одним из агенств, назначенный на поздний вечер. Чувак на колл в нужное время не явился, я просто зашел по линке на Google Meet и сидел там ожидая его. Через 15 минут я задолбался ждать и решил слиться.
Набрал себе горячую ванную после трудового дня, поставил на стульчике в ванной ноут чтобы смотреть сюжетное прохождение Ведьмачка, разделся, собрался было залазить в ванную (стоя перед ноутом ессно)...
И тут из ноута раздается "Привет. Как слышно?" ))0)
Слава. Богу. Блять. Я. Выключил. Камеру. И. Микрофон.
Слава богу)
//к сожалению история выше произошла с одменом лично и не является присланной)
Я в данный момент ищу разрабов на апворке, и соответственно поназначал кучу коллов. В конце дня, задолбавшись от этого всего, зашел на колл с одним из агенств, назначенный на поздний вечер. Чувак на колл в нужное время не явился, я просто зашел по линке на Google Meet и сидел там ожидая его. Через 15 минут я задолбался ждать и решил слиться.
Набрал себе горячую ванную после трудового дня, поставил на стульчике в ванной ноут чтобы смотреть сюжетное прохождение Ведьмачка, разделся, собрался было залазить в ванную (стоя перед ноутом ессно)...
И тут из ноута раздается "Привет. Как слышно?" ))0)
Слава. Богу. Блять. Я. Выключил. Камеру. И. Микрофон.
Слава богу)
//к сожалению история выше произошла с одменом лично и не является присланной)
🔥30😁9❤1