Охрана отмена - фича работает через раз, а комиссия за оплату ЕСВ - 3%)
Forwarded from ✙rozho)))k✙🇺🇦
Масштабная утечка персональных данных граждан Украины
В ночь на 14 января на некоторые годсударственные сайты Украины была совершена хакерская атака. Много сайтов просто не работали, на части хакеры оставили дефейс с антиукраинской пропагандой.
21 января на сайте с объявлениями о продаже слитых баз появилось объявление в котором предлагали к покупке большую базу правительственного портала "Дія". В качестве доказательств продавец выложил в открытый доступ три архива: дамп базы 100 000 пользователей, 10 гигабайт изображений а так же дамп слабоструктурированных данных в виде JSON записей.
Минцифры Украины, Киберполиция и другие спикеры от власти немедленно заявили о том что эта база является фейком, "Дію" не ломали, то что предлагают купить—это компиляция из старых сливов до 2019 года завёрнутая в фантик, а все кто распостраняют информацию о якобы сливе—это провокаторы и враги государства которые хотят дестабилизировать ситуацию на пороге войны.
Я решил самостоятельно проверить, что же это за такие данные и скачал сэмплы предоставленные продавцом. Первое что меня интересовало—это актуальность данных. В таблице есть: емейл и телефон, дата рождения, ФИО, ИНН, серия и номер паспорта или ИД-карты и другая информация. Среди этой инфы оказалось достаточно много записей с 2020-2021 года.
К большому сожалению, в этой базе я не нашёл себя. Тогда я бы смог заявить что данные настоящие а любой желающий мог бы это проверить, ведь копия базы доступна всем.
Я опубликовал проведённый мной анализ на форуме доу и начали подключаться другие люди.
Один человек обратил внимание на то, что идентификатор userId из слитой базы совпадает с идентификатором который записывается в JWT-токен выдаваемый порталом Дія в момент логина. Он написал инструкцию о том как получить userId из сессии и уже скоро мы имели подтверждение от кучи людей о том, что поиск по их userId в базе выдаёт корректные данные.
Таким образом, можно однозначно утверждать, что слитая база во-первых, как минимум имеет отношение к Дії а во-вторых, была слита недавно, а не является компиляцией.
Анонимный пользователь ДОУ разработал сервис с инструкциями по проверке скомпрометирован ли ваш userId: https://haveiindb.xyz/check.html По userId сайт покажет ФИО и частичные паспортные данные. Вы можете сами убедиться в аутентичности данных. Из-за того, что выборка маленькая (всего лишь около 100 000 записей), то вероятность этого невысокая, но на форуме ДОУ нашлось достаточно людей которые подтвердили корректность.
Для того, чтобы узнать, есть ли ваши данные в семпле и настоящие ли они, вам нужно залогиниться в веб-портал Дія, с помощью консоли разработчика узнать свой userId и вставить его на сайт. userId по идее является деперсонализированной информацией и вряд ли используется где-либо кроме внутренней кухни Дія поэтому его передача (сайту сделанному неизвестным) вряд ли вам навредит. Тем не менее я предупреждаю о том что не являюсь автором этого сайта и не несу за него ответственность.
Кроме персональных, в дампе есть JSON с другими данными. Я перепроверил и могу утверждать, что формат этих данных очень похож на тот, который отдаёт портал Дія. Среди горы файлов есть информация о заявках на получение матпомощи для ребёнка (Є-Малятко) что так же позволяет сделать вывод о том, что база свежая.
Среди скомпрометированных пользователей есть как те, кто логинился на веб-портал Дія, так и те, кто только ставил приложение.
Мне бы очень хотелось чтобы это действительно была фейковая база, но сюдя по имеющимся доказательствам, к сожалению, это не так. Моё предположение—во время хакерской атаки 14-го января злоумышленники получили доступ к приложению, которое находилось в одном контуре с Дієй, и смогли сдампить базу. При этом заявления киберполиции и минцифры о том, что "Дію не ломали" вероятно де-юре правдивое, но для нас, как граждан это не имеет значения—данные утекли в сеть, и неважно, каким путём.
Тем временем государство выбрало тактику замалчивания и отрицания. Я уже дал свой комментарий порталу ДОУ, ждём независимого расследования.
Лайк, шер, репост.
В ночь на 14 января на некоторые годсударственные сайты Украины была совершена хакерская атака. Много сайтов просто не работали, на части хакеры оставили дефейс с антиукраинской пропагандой.
21 января на сайте с объявлениями о продаже слитых баз появилось объявление в котором предлагали к покупке большую базу правительственного портала "Дія". В качестве доказательств продавец выложил в открытый доступ три архива: дамп базы 100 000 пользователей, 10 гигабайт изображений а так же дамп слабоструктурированных данных в виде JSON записей.
Минцифры Украины, Киберполиция и другие спикеры от власти немедленно заявили о том что эта база является фейком, "Дію" не ломали, то что предлагают купить—это компиляция из старых сливов до 2019 года завёрнутая в фантик, а все кто распостраняют информацию о якобы сливе—это провокаторы и враги государства которые хотят дестабилизировать ситуацию на пороге войны.
Я решил самостоятельно проверить, что же это за такие данные и скачал сэмплы предоставленные продавцом. Первое что меня интересовало—это актуальность данных. В таблице есть: емейл и телефон, дата рождения, ФИО, ИНН, серия и номер паспорта или ИД-карты и другая информация. Среди этой инфы оказалось достаточно много записей с 2020-2021 года.
К большому сожалению, в этой базе я не нашёл себя. Тогда я бы смог заявить что данные настоящие а любой желающий мог бы это проверить, ведь копия базы доступна всем.
Я опубликовал проведённый мной анализ на форуме доу и начали подключаться другие люди.
Один человек обратил внимание на то, что идентификатор userId из слитой базы совпадает с идентификатором который записывается в JWT-токен выдаваемый порталом Дія в момент логина. Он написал инструкцию о том как получить userId из сессии и уже скоро мы имели подтверждение от кучи людей о том, что поиск по их userId в базе выдаёт корректные данные.
Таким образом, можно однозначно утверждать, что слитая база во-первых, как минимум имеет отношение к Дії а во-вторых, была слита недавно, а не является компиляцией.
Анонимный пользователь ДОУ разработал сервис с инструкциями по проверке скомпрометирован ли ваш userId: https://haveiindb.xyz/check.html По userId сайт покажет ФИО и частичные паспортные данные. Вы можете сами убедиться в аутентичности данных. Из-за того, что выборка маленькая (всего лишь около 100 000 записей), то вероятность этого невысокая, но на форуме ДОУ нашлось достаточно людей которые подтвердили корректность.
Для того, чтобы узнать, есть ли ваши данные в семпле и настоящие ли они, вам нужно залогиниться в веб-портал Дія, с помощью консоли разработчика узнать свой userId и вставить его на сайт. userId по идее является деперсонализированной информацией и вряд ли используется где-либо кроме внутренней кухни Дія поэтому его передача (сайту сделанному неизвестным) вряд ли вам навредит. Тем не менее я предупреждаю о том что не являюсь автором этого сайта и не несу за него ответственность.
Кроме персональных, в дампе есть JSON с другими данными. Я перепроверил и могу утверждать, что формат этих данных очень похож на тот, который отдаёт портал Дія. Среди горы файлов есть информация о заявках на получение матпомощи для ребёнка (Є-Малятко) что так же позволяет сделать вывод о том, что база свежая.
Среди скомпрометированных пользователей есть как те, кто логинился на веб-портал Дія, так и те, кто только ставил приложение.
Мне бы очень хотелось чтобы это действительно была фейковая база, но сюдя по имеющимся доказательствам, к сожалению, это не так. Моё предположение—во время хакерской атаки 14-го января злоумышленники получили доступ к приложению, которое находилось в одном контуре с Дієй, и смогли сдампить базу. При этом заявления киберполиции и минцифры о том, что "Дію не ломали" вероятно де-юре правдивое, но для нас, как граждан это не имеет значения—данные утекли в сеть, и неважно, каким путём.
Тем временем государство выбрало тактику замалчивания и отрицания. Я уже дал свой комментарий порталу ДОУ, ждём независимого расследования.
Лайк, шер, репост.
😢13👍4
>В продолжение темы слива Алмаз-Антей (российский концерн, объединяющий предприятия, разрабатывающие и выпускающие вооружения для противовоздушной обороны и противоракетной обороны), который хакеры недавно опубликовали на площадке Рейдфорумс.
Наши камунити мемберы решили провести исследование и проанализировали файлы из опубликованного на Рейдфорумс архива (прежде всего, заинтересовали дампы тикетов Редмайна). В результате исследования обнаружены несколько ссылок на некий диск мейл.ру, где был размещен в открытом доступе (!) архив с файликом. Посмотрев этот файлик, наши кибер-космобольцы обнаружили бекап базы mssql, с примерным размером 67ГБ. В обнаруженной базе, кроме прочего, находилась табличка, в которой лежали блобы с файлами.
Написав за пару часов парсер и заполучив файлики, исследователи обнаружили ТЫСЯЧИ всевозможных чертежей, относящихся к заводам по нефтепереработке, военно-промышленному комплексу, скан-копии служебных документов с подписями и много много другой занимательной информации, контакты сотрудников крупных предприятий, спецификации закупок и черт ногу сломит что еще. Энтузиасты структурировали обнаруженную информацию и предоставляют в удобочитаемом виде.
взято тут
Наши камунити мемберы решили провести исследование и проанализировали файлы из опубликованного на Рейдфорумс архива (прежде всего, заинтересовали дампы тикетов Редмайна). В результате исследования обнаружены несколько ссылок на некий диск мейл.ру, где был размещен в открытом доступе (!) архив с файликом. Посмотрев этот файлик, наши кибер-космобольцы обнаружили бекап базы mssql, с примерным размером 67ГБ. В обнаруженной базе, кроме прочего, находилась табличка, в которой лежали блобы с файлами.
Написав за пару часов парсер и заполучив файлики, исследователи обнаружили ТЫСЯЧИ всевозможных чертежей, относящихся к заводам по нефтепереработке, военно-промышленному комплексу, скан-копии служебных документов с подписями и много много другой занимательной информации, контакты сотрудников крупных предприятий, спецификации закупок и черт ногу сломит что еще. Энтузиасты структурировали обнаруженную информацию и предоставляют в удобочитаемом виде.
взято тут
Кажется смарт-контракты это очень боль(
Did I just lose half a million dollars?
Did I just lose half a million dollars?
>In simple words, he should have called a smart contract's function which would withdraw his tokens and send real ETH to his address. Instead, he sent tokens to smart contract's address and they will stay there forever, not associated with any account. This complexity should be abstracted away by wallet's UI. Users don't have to call APIs directly. Also, this whole situation could be prevented by trying to send a smaller amount first.
noduerme 11 hours ago | root | parent | next [–]
I've written middleware APIs for accepting currency in carts and casinos that interfaced with / polled bitcoind and other daemons. Why on earth would this person be calling APIs directly, and why would the daemon not just reject the transaction if it's an unexpected kind of token? Or if he added funds to the contract why not be able to remove them to the same address? I never dealt with smart contracts but even allowing this to happen without an error seems like a crazy, terrible design.
jazzyjackson 10 hours ago | root | parent | next [–]
from the reddit comments, similar question, apparently every instruction adds gas fees to running the contract, so if you're going to use the contract a lot, you leave out any kind of validation.
>> Wow why didn't the contract creators think this through and block requests to the contract
> Because adding that check would increase the cost of every user transaction. All AMM swaps would be done with WETH so it’s the right call to not have it in there
dTal 9 hours ago | root | parent | next [–]
There are, of course, other industries with financial incentives against safety features. We usually regulate them.
We can point and laugh at this one person, but according to the reddit thread they're the 265th person to make this mistake, and more than half of the money in the inaccessible account is not theirs.
GaylordTuring 4 hours ago | root | parent | next [–]
And that's just for this particular token. You can go to just about any token contract and see how numerous people have sent their tokens to the contract address itself.
noduerme 11 hours ago | root | parent | next [–]
I've written middleware APIs for accepting currency in carts and casinos that interfaced with / polled bitcoind and other daemons. Why on earth would this person be calling APIs directly, and why would the daemon not just reject the transaction if it's an unexpected kind of token? Or if he added funds to the contract why not be able to remove them to the same address? I never dealt with smart contracts but even allowing this to happen without an error seems like a crazy, terrible design.
jazzyjackson 10 hours ago | root | parent | next [–]
from the reddit comments, similar question, apparently every instruction adds gas fees to running the contract, so if you're going to use the contract a lot, you leave out any kind of validation.
>> Wow why didn't the contract creators think this through and block requests to the contract
> Because adding that check would increase the cost of every user transaction. All AMM swaps would be done with WETH so it’s the right call to not have it in there
dTal 9 hours ago | root | parent | next [–]
There are, of course, other industries with financial incentives against safety features. We usually regulate them.
We can point and laugh at this one person, but according to the reddit thread they're the 265th person to make this mistake, and more than half of the money in the inaccessible account is not theirs.
GaylordTuring 4 hours ago | root | parent | next [–]
And that's just for this particular token. You can go to just about any token contract and see how numerous people have sent their tokens to the contract address itself.
DatePicker в Android при попытке открыть 31 февраля не выдает ошибку, а открывает 3 марта. Это баг или фича?)
😁4
https://flash.android.com
Официальная тулза гугла, позволяющая перепрошить телефон с браузера (по USB) не устанавливая ничего на комп. По моему это пиздец)
Официальная тулза гугла, позволяющая перепрошить телефон с браузера (по USB) не устанавливая ничего на комп. По моему это пиздец)
Forwarded from FEDOROV
Держава у смартфоні — для всіх! Переваги цифрової держави мають бути доступні всім, незалежно від віку. Незабаром усі громадяни України, старші 60 років, отримають від держави безкоштовний, якісний, сучасний, швидкий смартфон і пільговий тариф.
🔥4😁1🤔1
Боже, только что был такой пиздец) Я был на грани эпичнейшего фейла. Думал такое только в фольклорных кулстори бывает)
Я в данный момент ищу разрабов на апворке, и соответственно поназначал кучу коллов. В конце дня, задолбавшись от этого всего, зашел на колл с одним из агенств, назначенный на поздний вечер. Чувак на колл в нужное время не явился, я просто зашел по линке на Google Meet и сидел там ожидая его. Через 15 минут я задолбался ждать и решил слиться.
Набрал себе горячую ванную после трудового дня, поставил на стульчике в ванной ноут чтобы смотреть сюжетное прохождение Ведьмачка, разделся, собрался было залазить в ванную (стоя перед ноутом ессно)...
И тут из ноута раздается "Привет. Как слышно?" ))0)
Слава. Богу. Блять. Я. Выключил. Камеру. И. Микрофон.
Слава богу)
//к сожалению история выше произошла с одменом лично и не является присланной)
Я в данный момент ищу разрабов на апворке, и соответственно поназначал кучу коллов. В конце дня, задолбавшись от этого всего, зашел на колл с одним из агенств, назначенный на поздний вечер. Чувак на колл в нужное время не явился, я просто зашел по линке на Google Meet и сидел там ожидая его. Через 15 минут я задолбался ждать и решил слиться.
Набрал себе горячую ванную после трудового дня, поставил на стульчике в ванной ноут чтобы смотреть сюжетное прохождение Ведьмачка, разделся, собрался было залазить в ванную (стоя перед ноутом ессно)...
И тут из ноута раздается "Привет. Как слышно?" ))0)
Слава. Богу. Блять. Я. Выключил. Камеру. И. Микрофон.
Слава богу)
//к сожалению история выше произошла с одменом лично и не является присланной)
🔥30😁9❤1
Лол, ну где-где, а на стековерфлоу я конечно такого не ожидал)
https://stackoverflow.com/questions/67448034/module-was-compiled-with-an-incompatible-version-of-kotlin-the-binary-version
https://stackoverflow.com/questions/67448034/module-was-compiled-with-an-incompatible-version-of-kotlin-the-binary-version
Stack Overflow
"Module was compiled with an incompatible version of Kotlin. The binary version of its metadata is 1.5.1, expected version is 1.1.16"
The following error occurs when I tried to build the app:
C:/Users/Lenovo/.gradle/caches/transforms-2/files-2.1/32f0bb3e96b47cf79ece6482359b6ad2/jetified-kotlin-stdlib-jdk7-1.5.0.jar!/META-INF/kot...
C:/Users/Lenovo/.gradle/caches/transforms-2/files-2.1/32f0bb3e96b47cf79ece6482359b6ad2/jetified-kotlin-stdlib-jdk7-1.5.0.jar!/META-INF/kot...
😁1
Forwarded from Бахус и Баухаус
Огромный документ где есть вся информация для беженцев.
Все пограничные переходы с Европой, телефоны юристов, психологическая помощь, помощь с документами, сбор правил, помощь в других странах. Все что известно к данному часу.
https://docs.google.com/document/u/0/d/1ZCxrK4520gSGiGy4Cvqbzzn6TkB02j85XlGc5J5cFrQ/mobilebasic
Все пограничные переходы с Европой, телефоны юристов, психологическая помощь, помощь с документами, сбор правил, помощь в других странах. Все что известно к данному часу.
https://docs.google.com/document/u/0/d/1ZCxrK4520gSGiGy4Cvqbzzn6TkB02j85XlGc5J5cFrQ/mobilebasic
Информация для беженцев.pdf
339.5 KB
Информация для беженцев из Украины
Оригинальный документ дадудосили, вот файл (но не все оффлайн, некоторые ссылки ведут на внешние источники)
Оригинальный документ дадудосили, вот файл (но не все оффлайн, некоторые ссылки ведут на внешние источники)
👍3
Если есть тут кто адекватный из России - расскажите в комментах че у вас там, пока вас от инета не отключили
👍8
https://github.com/Antcating/telegram_report_bot_ua
максимальный репост
сохраните репу если гитхаб забанит
максимальный репост
сохраните репу если гитхаб забанит
❤5💩3👍1