> Кибермошенники атаковали Wildberries. Подставные продавцы размещали на платформе несуществующие товары, а затем под видом покупателей пытались оплатить их по недостоверным реквизитам. Оплата блокировалась, но маркетплейс всё равно переводил «продавцу» средства, считая, что сделка прошла успешна.

> По этой схеме аферисты смогли обокрасть магазин на 385 млн рублей

Ахахахаха....

Ой, извините...

АААААХАХАХА!

Вот вышла им боком их блядская кадровая политика в отношении ит работников! Этож надо такое говно спроектировать! Провал операции системой принимается за успех!

@cauf вот с хуяли программисты виноваты, какими бы они не были?

Безопасность это процесс. Вот хоть все деньги трать на программистов идеально безопасным сервис не будет.

Есть очень интересные вопросы по этому поводу:
1. А сервис аудит безопасности проходил?
2. Делается ли это регулярно?
3. Есть кто-то внутри с достаточной квалификацией и обязанностями следить за безопасностью?
4. Достаточно ли тестируется сервис?
5. Правильно ли устроены процессы внутри - ревью, unit тесты?
6. А вообще хоть какое внимание уделяется качеству?

Без правильной организации процесса "выстрел в ногу" лишь вопрос времени.

Follow

@hardworm так вот в пункте 3 здоровая дыра. Оставили студентгв за еду и всё.
@cauf

@Revertron @cauf я работал в платежной системе. Там то же были джуны и это нормально.

Безопасность это процесс. Еще это комплекс мероприятий и там заложено то, что 1 проеб не фатален.

Там должна была быть сверка финансовых средств. Допустили проеб в обработке платежей, вот расхождение в сверке. И это должно происходить постоянно, а не раз в месяц/квартал/год

@hardworm Но ведь все эти процессы должен сделать человек с опытом. А если там ТОЛЬКО студенты, то хули от них требовать?
@cauf

@Revertron @cauf эти процессы не должен ставить 1 человек снизу.

Это все должен организовать бизнес. Ставить процессы и требования сверху, что бы все соблюдали свою часть. И скорей всего у бизнеса не будет опыта и он наймет специальную организацию\людей, которая проведет аудит и скажет как поставить процессы.

Это управленческая задача. Не важно, кто там сидит ниже - студенты, школьники или программисты с самым большим опытом. Они всего лишь малая часть этого процесса.

@hardworm Да, но бизнес ведь не знает всей технической части, за неё должен отвечать кто-то компетентный.
Если там директор просто сказал студентам "сделайте хорошо", то они делают это в силу своих знаний.
Я не защищаю руководство, как может показаться. Просто говорю, что в техническом отделе должен быть хоть кто-то с головой.

@cauf

@Revertron @cauf это бессмысленно и бесполезно. Такое делается сверху и на всех.

1 человек внизу воообще нихуя не решает. Совсем нихуя.

Я так одного работодателя сунул носом в его говно. Расписал по полочкам, указал что плохо там и там, это нельзя делать, это не так делается. Думаешь что-то поменялось? Да хуй.

А потом через 1.5 года компанию поимели на 6.5. млн через взлом CI и эксплуатацию уязвимостей зафиксированных и расписанных.

Лучше бы эти уязвимости бы продал в dark нете.

Sign in to participate in the conversation
Mastodon on ZHub

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!