Follow

> Кибермошенники атаковали Wildberries. Подставные продавцы размещали на платформе несуществующие товары, а затем под видом покупателей пытались оплатить их по недостоверным реквизитам. Оплата блокировалась, но маркетплейс всё равно переводил «продавцу» средства, считая, что сделка прошла успешна.

> По этой схеме аферисты смогли обокрасть магазин на 385 млн рублей

Ахахахаха....

Ой, извините...

АААААХАХАХА!

Вот вышла им боком их блядская кадровая политика в отношении ит работников! Этож надо такое говно спроектировать! Провал операции системой принимается за успех!

· · Web · 4 · 5 · 5

@cauf вот с хуяли программисты виноваты, какими бы они не были?

Безопасность это процесс. Вот хоть все деньги трать на программистов идеально безопасным сервис не будет.

Есть очень интересные вопросы по этому поводу:
1. А сервис аудит безопасности проходил?
2. Делается ли это регулярно?
3. Есть кто-то внутри с достаточной квалификацией и обязанностями следить за безопасностью?
4. Достаточно ли тестируется сервис?
5. Правильно ли устроены процессы внутри - ревью, unit тесты?
6. А вообще хоть какое внимание уделяется качеству?

Без правильной организации процесса "выстрел в ногу" лишь вопрос времени.

@hardworm так вот в пункте 3 здоровая дыра. Оставили студентгв за еду и всё.
@cauf

@Revertron @cauf я работал в платежной системе. Там то же были джуны и это нормально.

Безопасность это процесс. Еще это комплекс мероприятий и там заложено то, что 1 проеб не фатален.

Там должна была быть сверка финансовых средств. Допустили проеб в обработке платежей, вот расхождение в сверке. И это должно происходить постоянно, а не раз в месяц/квартал/год

@hardworm Но ведь все эти процессы должен сделать человек с опытом. А если там ТОЛЬКО студенты, то хули от них требовать?
@cauf

@Revertron @cauf эти процессы не должен ставить 1 человек снизу.

Это все должен организовать бизнес. Ставить процессы и требования сверху, что бы все соблюдали свою часть. И скорей всего у бизнеса не будет опыта и он наймет специальную организацию\людей, которая проведет аудит и скажет как поставить процессы.

Это управленческая задача. Не важно, кто там сидит ниже - студенты, школьники или программисты с самым большим опытом. Они всего лишь малая часть этого процесса.

@hardworm Да, но бизнес ведь не знает всей технической части, за неё должен отвечать кто-то компетентный.
Если там директор просто сказал студентам "сделайте хорошо", то они делают это в силу своих знаний.
Я не защищаю руководство, как может показаться. Просто говорю, что в техническом отделе должен быть хоть кто-то с головой.

@cauf

@Revertron @cauf это бессмысленно и бесполезно. Такое делается сверху и на всех.

1 человек внизу воообще нихуя не решает. Совсем нихуя.

Я так одного работодателя сунул носом в его говно. Расписал по полочкам, указал что плохо там и там, это нельзя делать, это не так делается. Думаешь что-то поменялось? Да хуй.

А потом через 1.5 года компанию поимели на 6.5. млн через взлом CI и эксплуатацию уязвимостей зафиксированных и расписанных.

Лучше бы эти уязвимости бы продал в dark нете.

@cauf это больше похоже на дырку в архитектуре или в тестировании. Одними программистами много не навоюешь.

@cauf На самом деле многие так работают, всё таки по умолчанию считается что клиент не мошенник, так жить и работать проще

То что тут так не уследили это конечно грусть

видимо нашей компании не получится с ними поработать..теперь у них денег нет )

@cauf Архитектурно это выглядит как:
ЛЮБАЯ сделка по-умолчанию успешна. Если клиент что-то оплачивает – ошибки быть не может. Поэтому продавцу переводятся деньги.
Просто полностью отсутствует ветка проверки ошибок оплаты. Либо назло сделано, либо специально лазейку оставили, либо пиздец тупые разрабы.

@13i там по свидетельствам очевидцев, крайне блядская политика. Нанимают пачками, держат очень недолго и только под определённые проекты, после чего крайне внезапно так де пачками отправляют на мороз. Постоянные кранчи и задачи задним числом.

Sign in to participate in the conversation
Mastodon

lor.sh is yet another mastodon instance.