#news Небольшой апдейт к новости выше. В ответ на заявление МосгорБТИ хакеры выложили предположительно часть стянутой базы данных, 14ГБ файлов. И прочие пруфы касаемо их утверждений об уничтоженной инфраструктуре. Се ля ви.
@tomhunter
@tomhunter
🔥12❤1🤔1🤯1🤬1🤡1
#news В эфире снова Lazarus и их друзья из ScarCruft, но под неожиданным углом: Reuters со ссылкой на отчёт SentinelLabs утверждает, что северокорейцы взломали сети нашего «НПО Машиностроения» и имели к ним доступ с конца 2021-го по май 2022-го, когда взлом был обнаружен. А оное НПО, собственно, производит крылатые и баллистические ракеты.
Дальше больше. Отчёт SentinelLabs выстроен на попавшей к ним случайной утечке электронных писем из корпорации. Злоумышленники скомпрометировали в ней почтовый сервер, а также использовали лазаровский бэкдор под Windows. На ключевом предприятии ВПК. Скомпрометирован почтовый сервер. Бэкдор под Винду. Спустя полгода персонал обсуждает подозрительные dll-ки в своих системах и странный стук по внешней инфраструктуре. И огромный массив имейлов по ошибке сливает в сеть сотрудник в попытке разобраться во взломе… Здесь могла быть ехидная шутка, но она будет излишней. Шутка уже написала себя сама. Вот тебе и инфобез.
@tomhunter
Дальше больше. Отчёт SentinelLabs выстроен на попавшей к ним случайной утечке электронных писем из корпорации. Злоумышленники скомпрометировали в ней почтовый сервер, а также использовали лазаровский бэкдор под Windows. На ключевом предприятии ВПК. Скомпрометирован почтовый сервер. Бэкдор под Винду. Спустя полгода персонал обсуждает подозрительные dll-ки в своих системах и странный стук по внешней инфраструктуре. И огромный массив имейлов по ошибке сливает в сеть сотрудник в попытке разобраться во взломе… Здесь могла быть ехидная шутка, но она будет излишней. Шутка уже написала себя сама. Вот тебе и инфобез.
@tomhunter
🔥9🤡8🤯2
#news Хорошая новость подоспела из Польши: поставщик спайвари LetMeSpy закрывается 31 августа. В конце июня компания была взломана, и в сеть утекла часть её базы данных с инфой и переписками более 100 тысяч пользователей, которую взломщики также снесли с серверов компании. Видимо, взлом наделал достаточно шуму, чтобы LetMeSpy не пережила такого удара.
Своё ПО LetMeSpy продвигали как легитимный инструмент для мониторинга детей и отслеживания потерянных телефонов. Между тем оно было спайварью под Андроид для лога сообщений, звонков, местоположения и другой инфы с телефонов жертв. Соответственно, пользовались им банально для слежки за детьми, партнёрами и сотрудниками с совсем неблагородными целями. Так что на закрытие этого низкопробного образчика stalkerware остаётся только сказать «Скатертью дорога». И пожелать той же судьбы всяческим Пегасам и прочей спайвари рангом повыше.
@tomhunter
Своё ПО LetMeSpy продвигали как легитимный инструмент для мониторинга детей и отслеживания потерянных телефонов. Между тем оно было спайварью под Андроид для лога сообщений, звонков, местоположения и другой инфы с телефонов жертв. Соответственно, пользовались им банально для слежки за детьми, партнёрами и сотрудниками с совсем неблагородными целями. Так что на закрытие этого низкопробного образчика stalkerware остаётся только сказать «Скатертью дорога». И пожелать той же судьбы всяческим Пегасам и прочей спайвари рангом повыше.
@tomhunter
❤5🔥1🤡1
По следам ушедшего месяца разбираем громкие события из мира инфобеза. В июле особо отметились ударным трудом криптостахановцы из Lazarus, а ФСБ выбило себе круглосуточный доступ к данным сервисов такси, что особенно отразится на работе Яндекса в России и зарубежом. Кроме того, на VirusTotal произошёл небольшой конфуз с утечкой данных западных спецслужб, а анализ DockerHub на предмет секретов и данных доступа в образах ожидаемо продемонстрировал золотые стандарты инфобеза в индустрии. Об этом и других интересных событиях июля читайте на нашем Хабре!
@tomhunter
@tomhunter
🔥5❤3🤡2
#news Новость про чудеса открытости при работе с утечками, на этот раз для разнообразия не из России. Избирательная комиссия Великобритании сообщила о масштабной утечке личных данных избирателей за период с 2014-го по 2022-й год. По следам кибератаки утекла база со списком избирателей. ФИО, электронная почта, домашний адрес, телефон и прочее по мелочи. Речь о десятках миллионов людей.
Об утечке комиссия уведомляет через 10 месяцев после того, как узнала о ней в октябре 2022-го, а сам взлом произошёл ещё в августе 2021-го года. Прошло два года. При этом масштабы утечки пытаются преуменьшить такими аргументами как «На выборы это не повлияло» и «Почти всё это общедоступная информация». Из общедоступного там ФИО и адрес. У взломщиков также был доступ к почтовому серверу комиссии и всей переписке с ним. В общем, простые граждане могут порадоваться, что их вообще поставили в известность. Это вам не данные спецслужб на VirusTotal залить – тут и извинений, скорее всего, не дождёшься.
@tomhunter
Об утечке комиссия уведомляет через 10 месяцев после того, как узнала о ней в октябре 2022-го, а сам взлом произошёл ещё в августе 2021-го года. Прошло два года. При этом масштабы утечки пытаются преуменьшить такими аргументами как «На выборы это не повлияло» и «Почти всё это общедоступная информация». Из общедоступного там ФИО и адрес. У взломщиков также был доступ к почтовому серверу комиссии и всей переписке с ним. В общем, простые граждане могут порадоваться, что их вообще поставили в известность. Это вам не данные спецслужб на VirusTotal залить – тут и извинений, скорее всего, не дождёшься.
@tomhunter
🔥6🤡2😁1
#news В эфире у нас защищённый и конфиденциальный ProtonMail, как известно, всем сердечком болеющий за защиту и конфиденциальность своих пользователей. А повод печальный: ProtonMail выдал ФБР юзера, писавшего угрозы в адрес директора избирательной комиссии в городке Милуоки в Штатах. Дамочка подверглась травле после публикации личной переписки, по следам которой радетели за великую прекрасную Америку решили, что она фальсифицировала выборы для дедушки Джо Байдена.
Наш уверенный в своей анонимности юзер допустил в письме нелестные высказывания и пригрозил страшными карами. ProtonMail же в ответ на запрос ФБР выдал его метаданные, а не содержимое переписки, но и этого оказалось достаточно, чтобы незадачливого героя истории отыскать. Лжи в этой грустной сказке нет, но есть простой урок для добрых криптомолодцев. Не спешите доверять платформам, заверяющим вас в безопасности, анонимности и преданности идеалам свободы. Каждый из нас убеждённый шифропанк, пока на пороге не объявится гражданин с ксивой.
@tomhunter
Наш уверенный в своей анонимности юзер допустил в письме нелестные высказывания и пригрозил страшными карами. ProtonMail же в ответ на запрос ФБР выдал его метаданные, а не содержимое переписки, но и этого оказалось достаточно, чтобы незадачливого героя истории отыскать. Лжи в этой грустной сказке нет, но есть простой урок для добрых криптомолодцев. Не спешите доверять платформам, заверяющим вас в безопасности, анонимности и преданности идеалам свободы. Каждый из нас убеждённый шифропанк, пока на пороге не объявится гражданин с ксивой.
@tomhunter
❤13😢5🤡3🤯2🤬1
#news В нескольких популярных криптографических протоколах нашли пару нулевых дней. Затронуты GG-18, GG-20 и Lindell 17, в свою очередь, используемые на таких криптоплатформах, как CoinBase, ZenGo, Binance и многих других. Десятки кошельков по-прежнему уязвимы и нуждаются в исправлениях.
Получившая название BitForge уязвимость в GG18 и GG20 связана с пороговыми подписями. Эксплойт позволяет злоумышленникам с помощью специально созданных сообщений вытянуть ключи от кошельков 16-битными кусками. Похожая уязвимость и в протоколе Lindell17 2PC – здесь виной кривая имплементация отмен запросов по кошельку. Атаки ассиметричные, так что позволяют скомпрометировать и клиент, и сервер. Исследователи уже опубликовали проверки концепции на Гитхабе, а здесь отслеживают статус кошельков, в которых уязвимости исправлены. И где-то вдалеке довольно потирают руки северокорейские любители крипты.
@tomhunter
Получившая название BitForge уязвимость в GG18 и GG20 связана с пороговыми подписями. Эксплойт позволяет злоумышленникам с помощью специально созданных сообщений вытянуть ключи от кошельков 16-битными кусками. Похожая уязвимость и в протоколе Lindell17 2PC – здесь виной кривая имплементация отмен запросов по кошельку. Атаки ассиметричные, так что позволяют скомпрометировать и клиент, и сервер. Исследователи уже опубликовали проверки концепции на Гитхабе, а здесь отслеживают статус кошельков, в которых уязвимости исправлены. И где-то вдалеке довольно потирают руки северокорейские любители крипты.
@tomhunter
🔥8🤯5❤3🤡2
Forwarded from XPanamas
Получаю множество вопросов от начинающих и не только специалистов поИБэ - что делать для развития, как поучаствовать в чем то настоящем, как ....
Для успеха - нужны лишь действия. Также важен коллектив в котором находишься.
От себя лично рекомендую вступить в ваше региональное отделение децентрализованной международной патриотической сети Рокот
Что вы получаете:
- отличный сплоченной одной идеей коллектив
- множество реальных задач в различных областях
- возможность реализовать свои идеи
- т.д.
Если есть вопросы пишите мне @SlipperyFox
Будь с лучшими, подпишись на @XPanamas
Для успеха - нужны лишь действия. Также важен коллектив в котором находишься.
От себя лично рекомендую вступить в ваше региональное отделение децентрализованной международной патриотической сети Рокот
Что вы получаете:
- отличный сплоченной одной идеей коллектив
- множество реальных задач в различных областях
- возможность реализовать свои идеи
- т.д.
Если есть вопросы пишите мне @SlipperyFox
Будь с лучшими, подпишись на @XPanamas
Telegram
РОКОТ
Запись на курсы НВП http://t.me/rokot_invite_bot?start=geo
Для жалоб, просьб и мольбы
@goyko_mitrich
В мире информационного шума несем правду и справедливость.
Для жалоб, просьб и мольбы
@goyko_mitrich
В мире информационного шума несем правду и справедливость.
💩18❤5🤬3🤡3🔥2🤔1
#news Популярный опенсорсовый проект Moq для поэлементного тестирования подвергся резкой критике в сети. На этой неделе разработчик без предупреждения добавил в него другой свой проект, SponsorLink. А в нём закрытый код и обфускация dll-ок, которые собирают хэши пользовательских электронных адресов и отправляют разработчику. Энтузиасты dll-ки разобрали, и действительно нашли в них соответствующий код.
Сам разработчик сообщил, что просто тестирует SponsorLink, и никакие почты он не собирает. Ну, только когда юзер поставит само приложение SponsorLink и даст ему соответствующие разрешения. А вместе с удалением приложения они удаляют и связанные с юзером данные. Но оправдания в инфобез-сообществе не оценили. И к следующей версии автор Moq решил всё откатить. Нет, товарищ разработчик, слово «открытый» в открытом коде не относится к пользовательским данным.
@tomhunter
Сам разработчик сообщил, что просто тестирует SponsorLink, и никакие почты он не собирает. Ну, только когда юзер поставит само приложение SponsorLink и даст ему соответствующие разрешения. А вместе с удалением приложения они удаляют и связанные с юзером данные. Но оправдания в инфобез-сообществе не оценили. И к следующей версии автор Moq решил всё откатить. Нет, товарищ разработчик, слово «открытый» в открытом коде не относится к пользовательским данным.
@tomhunter
😁10❤3😢1
#news Занятная история бытового инфобеза из UK. Правительству нужно обновлять данные избирателей (которые, как недавно выяснилось, утекли в сеть). И для этого они рассылают уведомления с просьбой ввести данные на сайте. А сам он на .com-домене вместо правительственного. И выглядит подозрительно.
Год за годом граждане нервничают и ищут подвох. А отказ от отправки уведомления в теории обойдётся штрафом в 1,000 фунтов и невозможностью участвовать в голосовании. И проблемами с кредитами, ипотеками, даже покупкой симки. Так что юзеры нервничают ещё больше. И уточняют в официальных аккаунтах госконтор: «А это точно не скам? А вы уверены? А сайт чего такой странный? Я буду жаловаться!» Вплоть до того, что властям приходится делать жалобные приписки: «Это похоже на скам, но уведомление настоящее, пришлите данные!» Но простой юзер не дурак. Если убеждают, что не скам, то отвечать точно не надо.
@tomhunter
Год за годом граждане нервничают и ищут подвох. А отказ от отправки уведомления в теории обойдётся штрафом в 1,000 фунтов и невозможностью участвовать в голосовании. И проблемами с кредитами, ипотеками, даже покупкой симки. Так что юзеры нервничают ещё больше. И уточняют в официальных аккаунтах госконтор: «А это точно не скам? А вы уверены? А сайт чего такой странный? Я буду жаловаться!» Вплоть до того, что властям приходится делать жалобные приписки: «Это похоже на скам, но уведомление настоящее, пришлите данные!» Но простой юзер не дурак. Если убеждают, что не скам, то отвечать точно не надо.
@tomhunter
😁10❤1
#news Исследователи разработали новую атаку на отравление кэша. MaginotDNS нацелена на CDNS-резолверы и потенциально может скомпрометировать целые домены верхнего уровня. Атака завязана на несоответствия в контрольной проверке разного популярного софта, в том числе BIND9, Knot Resolver, Technitium и Microsoft DNS. При этом атаки возможны и on-path, и out-of-path. А некоторые конфигурации и вовсе обрабатывают записи, как в корневом домене. На момент скана сети насчитали ~55 тысяч уязвимых серверов, треть от всех CDNS онлайн.
Исследовательская работа была представлена на Black Hat 2023, поставщики уязвимых версий уже поправили баги в софте, но тут уж в дело должны вступить администраторы и патчи с настройками накатить. А с этим может быть как всегда. Подробнее можно почитать здесь.
@tomhunter
Исследовательская работа была представлена на Black Hat 2023, поставщики уязвимых версий уже поправили баги в софте, но тут уж в дело должны вступить администраторы и патчи с настройками накатить. А с этим может быть как всегда. Подробнее можно почитать здесь.
@tomhunter
🔥5🤯3
#news Discord[.]io подтвердил утечку данных 760 тысяч пользователей. Неофициальный сервис для кастомных инвайтов отключили после взлома. А на новой итерации Breached выставили на продажу его базу с пруфами в виде нескольких аккаунтов. Из чувствительного в утечке юзернеймы, электронные адреса, солёные пароли и Discord ID. Большая часть инфы публична для тех, кто на одном сервере с юзером, но утечка может позволить, например, связать аккаунт в Дискорде с почтовым ящиком.
Подробностей взлома нет, но вот сам хакер утверждает, что дело не только в деньгах. А в нелегальном контенте на серверах и тем, что сайт с этим не борется. Более того, он утверждает, что предпочёл бы базу не продавать и не сливать, а обменять на чистку Discord[.]io от соответствующих материалов. В принципе, для знакомых с интересами обитателей чумных дискордовых палат мотивация понятная. Признаться даже, довольно близкая.
@tomhunter
Подробностей взлома нет, но вот сам хакер утверждает, что дело не только в деньгах. А в нелегальном контенте на серверах и тем, что сайт с этим не борется. Более того, он утверждает, что предпочёл бы базу не продавать и не сливать, а обменять на чистку Discord[.]io от соответствующих материалов. В принципе, для знакомых с интересами обитателей чумных дискордовых палат мотивация понятная. Признаться даже, довольно близкая.
@tomhunter
❤5🔥2💯1
#news У Брайана Кребса вышел материал про полулегендарного товарища, кибер-афериста Джона Клифтона Дэвиса. Обманувший десятки IT-стартапов на более чем $30 миллионов под предлогом перспективных инвестиций товарищ взялся за старое. Причём буквально.
Ранее в этом месяце Кребс узнал от брокера, что один из его клиентов погорел на $50 тысяч в мошеннической схеме, идентичной той, что использовал Дэвис. И в этот раз даже не понадобилось золотой классики OSINT’a. Один из порталов фейковой юридической фирмы, связанной с этой схемой, слово-в-слово повторяет текст с ранних скам-сайтов нашего известного в узких кругах инвестора. И заявляет о «13 годах «опита» (sic!) в своей сфере», хотя домен был зарегистрирован только в этом апреле. На запросы наш щедрый бенефактор от мира инвестиций не ответил. Очевидно, эту старую собаку-афериста новым трюкам точно не научишь. Что ж, хотя бы верен себе.
@tomhunter
Ранее в этом месяце Кребс узнал от брокера, что один из его клиентов погорел на $50 тысяч в мошеннической схеме, идентичной той, что использовал Дэвис. И в этот раз даже не понадобилось золотой классики OSINT’a. Один из порталов фейковой юридической фирмы, связанной с этой схемой, слово-в-слово повторяет текст с ранних скам-сайтов нашего известного в узких кругах инвестора. И заявляет о «13 годах «опита» (sic!) в своей сфере», хотя домен был зарегистрирован только в этом апреле. На запросы наш щедрый бенефактор от мира инвестиций не ответил. Очевидно, эту старую собаку-афериста новым трюкам точно не научишь. Что ж, хотя бы верен себе.
@tomhunter
😁6🔥1
Опубликовали новую статью, в которой мы разберём CVSS v.4.0, систему оценки уязвимостей, новый стандарт которой опубликуют 1 октября 2023-го года. А также расскажем про основные отличия от версии 3.1, грядущие изменения в расчётах при использовании новых метрик и о том, чего в инфобез-сообществе ждут от обновлённой версии. И, собственно, ответим на главный вопрос – стоит ли на неё вообще переходить. За подробностями добро пожаловать на наш Хабр!
@tomhunter
@tomhunter
🔥7❤1
#news На LinkedIn идёт волна взломов аккаунтов. Пользователи жалуются на перехват своих профилей и невозможность их восстановить. Некоторые юзеры получают запросы о выкупе для восстановления доступа под угрозой удаления аккаунта. Часть просто остаются с уже удалённым.
От компании никаких сообщений нет, но судя по времени ответа техподдержки, там загружены запросами под завязку. Отвечать на вопросы нервничающих юзеров, стучащих во все официальные аккаунты, тоже никто не спешит. Между тем число запросов в GoogleTrends «LinkedIn взлом» выросло на 5,000% за пару месяцев. Судя по всему, массово ломают через подстановку учётных данных или брутфорс. Причём почты для угона с русскоязычными никами на Рамблере. Ну и в лучших традициях инфобеза взломщики подключают 2FA на взломанных аккаунтах без неё, закрывая юзеру восстановление. Урок полезный: не включишь двухфакторку сам, за тебя это сделает злоумышленник.
@tomhunter
От компании никаких сообщений нет, но судя по времени ответа техподдержки, там загружены запросами под завязку. Отвечать на вопросы нервничающих юзеров, стучащих во все официальные аккаунты, тоже никто не спешит. Между тем число запросов в GoogleTrends «LinkedIn взлом» выросло на 5,000% за пару месяцев. Судя по всему, массово ломают через подстановку учётных данных или брутфорс. Причём почты для угона с русскоязычными никами на Рамблере. Ну и в лучших традициях инфобеза взломщики подключают 2FA на взломанных аккаунтах без неё, закрывая юзеру восстановление. Урок полезный: не включишь двухфакторку сам, за тебя это сделает злоумышленник.
@tomhunter
🔥3🤯1
#news Ожидаемая судьба постигла хостинг Anonfiles: он объявил о закрытии. Причину назвали тоже прозаичную: не справились с абьюзом площадки под нелегальный контент. После недавнего их отключения прокси-провайдером, владельцы сайта решили больше не возиться с чисткой анонимных авгиевых конюшен.
Anonfiles делал ставку на анонимность юзеров, и быстро стал одной из наиболее популярных площадок для постинга краденных данных, материалов под копирайтом и прочего нелегального. В то же время сам хостинг часто ловили на распространении в рекламе малвари, скамов с техподдержкой и подозрительных расширений. За пару лет на хостинге засветились инфостилеры, ботнеты и рансомварь в рекламных предложениях. Теперь владельцы ищут покупателя на свой домен, вероятно, пожелающих запустить свой собственный рассадник вредоноса для анонимов.
@tomhunter
Anonfiles делал ставку на анонимность юзеров, и быстро стал одной из наиболее популярных площадок для постинга краденных данных, материалов под копирайтом и прочего нелегального. В то же время сам хостинг часто ловили на распространении в рекламе малвари, скамов с техподдержкой и подозрительных расширений. За пару лет на хостинге засветились инфостилеры, ботнеты и рансомварь в рекламных предложениях. Теперь владельцы ищут покупателя на свой домен, вероятно, пожелающих запустить свой собственный рассадник вредоноса для анонимов.
@tomhunter
😢6😁5🔥1
#news На GitLab замечена кампания по криптоджекингу и проксиджекингу. Злоумышленники используют старенькую 10-бальную уязвимость CVE-2021-22205 для взлома, бинарники на Go и .Net для обхода обнаружения и TryCloudflare для обфускации своих С2-серверов. Малварь также функционирует как бэкдор на заражённых системах. Год назад в эксплойте этой CVE были замечены хакеры из Индонезии, и тоже с криптомайнерами.
ГитЛаб по следам идущей кампании выпустил заявление, но сказать им особо нечего, кроме как «Ставьте патчи уже, ископаемые» и сослаться на свои посты двухлетней давности. Потому что уязвимость исправили ещё в 2021-м году. А некоторые всё так и сидят на старых версиях. Тех, собственно, и взломали. Можно бесконечно смотреть на три вещи. Две вы знаете, а третья – как юзеры годами откладывают накатывание патчей.
@tomhunter
ГитЛаб по следам идущей кампании выпустил заявление, но сказать им особо нечего, кроме как «Ставьте патчи уже, ископаемые» и сослаться на свои посты двухлетней давности. Потому что уязвимость исправили ещё в 2021-м году. А некоторые всё так и сидят на старых версиях. Тех, собственно, и взломали. Можно бесконечно смотреть на три вещи. Две вы знаете, а третья – как юзеры годами откладывают накатывание патчей.
@tomhunter
😁3🔥2🤡1
#news Пятничная новость о заморских традициях. В Японии есть трудности с цифровизацией и введением цифровых ID. Система работает криво и медленно, сроки срываются, есть ошибка в её работе, трудности с получением и восстановлением карт и прочее. Люди протестуют и собирают подписи против. Доверие к электронному государству падает.
На фоне же провалов министр цифрового развития Японии признал трудности в работе системы, извинился за её неадекватное введение и… отказался от зарплаты за квартал. Это, к слову, распространённое в Японии явление с управленцами, отвечающими за свою работу. Цифровизация цифровизацией, но особенности менталитета у японцев никакие цифровые ID не отнимут.
@tomhunter
На фоне же провалов министр цифрового развития Японии признал трудности в работе системы, извинился за её неадекватное введение и… отказался от зарплаты за квартал. Это, к слову, распространённое в Японии явление с управленцами, отвечающими за свою работу. Цифровизация цифровизацией, но особенности менталитета у японцев никакие цифровые ID не отнимут.
@tomhunter
❤14🤡5🔥2😁2
#news В WinRAR исправили занятный баг, позволяющий выполнять команды на компьютере жертвы просто при открытии архива. О CVE-2023-40477 сообщили RARLAB в начале июня. Проблема в обработке томов восстановления, это может вести к доступу к памяти за пределами выделенного буфера и, соответственно, выполнению произвольного кода.
Уязвимость поправили в версии WinRAR 6.23 от 2 августа. Она получила относительно невысокий рейтинг 7.8 по CVSS за счёт того, что жертву нужно заставить сначала открыть архив. Тем не менее, нельзя недооценивать готовность юзера кликать на всё подряд. И сидеть на древних версиях WinRAR вплоть до того момента, когда он куда-нибудь случайно нажмёт, и всё исчезнет.
@tomhunter
Уязвимость поправили в версии WinRAR 6.23 от 2 августа. Она получила относительно невысокий рейтинг 7.8 по CVSS за счёт того, что жертву нужно заставить сначала открыть архив. Тем не менее, нельзя недооценивать готовность юзера кликать на всё подряд. И сидеть на древних версиях WinRAR вплоть до того момента, когда он куда-нибудь случайно нажмёт, и всё исчезнет.
@tomhunter
😁12🔥1🤯1
#news Август принёс ешё одну драму от мира борцов за открытый код: Serde, популярный инструмент (де)сериализации под Rust на 200 миллионов скачиваний, начал поставлять свой макрос serde_derive в виде прекомпилированного бинарника. И понеслось.
Безопасники ссылаются на потенциал атак на цепочку поставок, если бинарники окажутся скомпрометированы, и поминают нехорошими словами Python. Ругают втихую выкаченные изменения. Просят сделать форк для параноиков. Создатели Fedora Linux назвали решение «проблематичным», так как кроме прошивки ничего прекомпилированного поставлять не могут… В общем, сообщество бурлит. Сам разработчик уже успел послушать комментарии, принял их во внимание да и закрыл ветку со словами, что других вариантов у него нет, делайте, что хотите. Драма уже успела дорасти до масштабов недавнего шума вокруг Moq, так что можно делать ставки, закончится ли всё на этом.
@tomhunter
Безопасники ссылаются на потенциал атак на цепочку поставок, если бинарники окажутся скомпрометированы, и поминают нехорошими словами Python. Ругают втихую выкаченные изменения. Просят сделать форк для параноиков. Создатели Fedora Linux назвали решение «проблематичным», так как кроме прошивки ничего прекомпилированного поставлять не могут… В общем, сообщество бурлит. Сам разработчик уже успел послушать комментарии, принял их во внимание да и закрыл ветку со словами, что других вариантов у него нет, делайте, что хотите. Драма уже успела дорасти до масштабов недавнего шума вокруг Moq, так что можно делать ставки, закончится ли всё на этом.
@tomhunter
🤡6🔥3🤯2