Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Маркетинг
Деньги
Сервисы
Личный опыт
Маркетплейсы
Крипто
AI
Образование
Карьера
Путешествия
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Натали
Сервисы

Зачем LiveDune отдали 800 тысяч хакерам?

Привет, на связи Livedune и мы за то, чтобы быть максимально полезными. В этом блоге будем делиться своими историями, рассказывать не только об успехах, но и фейлах, приглашать к обсуждению трендовых тем.

Чтобы не тратить ваше драгоценное время, перейдем к заявленной в заголовке теме. Итак, зачем же мы занесли 800 тысяч рублей хакерам?

13 января в 1:44 ночи нам пришло письмо от Facebook:

“Спасибо за дополнительную информацию. От вас больше не требуется никаких действий для “Оценки защиты данных” <...>

Это значило, что забег длиною в три месяца остался позади, Facebook оценил нашу защиту данных и позволили работать дальше. Что все это было?

22 июля Facebook запустил оценку качества защиты данных . Цель — проверить, как защищают данные пользователей партнеры Facebook. Также эта программа выступает своеобразным фильтром — те приложения, которые не особо активны (т.е. если они банально не отвечают на вопросы) блокируют.

Изначально весь процесс был простой, мы заполнили анкету и отправили на проверку. А в конце октября нам пришел ответ: необходимо было улучшить защиту данных.

Тут и начались сложности.

Что именно нужно улучшить, почему? Непонятно. Начали переписываться с FB и получили расплывчатые требования и кучу ссылок, которые мы начали изучать и делать все по максимуму.

LiveDune всегда был безопасным сервисом т.к. мы не просим логин/пароль от аккаунтов, а авторизации происходит с помощью OAuth через сами соцсети (в отличии от серых сервисов). И мы начали работать — в итоге усилили безопасность всего сервиса сразу в нескольких направлениях. Некоторые вопросы мы хотели уже сделать давно, но вся эта история от Facebook стала своеобразным пинком.

Например, мы заплатили 800 тысяч ребятам из DeteAct (добрые хакеры),

чтобы они провели пентест, т.е. попытались нас взломать, как бы это сделали злоумышленники. Нашли парочку проблемных мест и кучу мелочи. Подправили. И эта обязательная процедура для прохождения проверки FB — тоже своеобразный фильтр.

Что в итоге улучшилось в безопасности по результатам проверки FB:

  • Проведен пентест и будет проводиться на ежегодной основе;
  • Получили сертификат ISO 27001 (международный стандарт по информационной безопасности);
  • Разработаны процедуры по мониторингу и обновлению софта на серверах. На серверной стороне используем Nessus, для еженедельного отслеживания важных обновлений софта;
  • Включено минимальное шифрование TLS 1.2;
  • У всех наших сотрудников включена двухфакторная авторизация по умолчанию. А для доступа в админку используется трехфакторная авторизация;
  • Клиенты могут включить двухфакторную авторизацию на сервисе;
  • Раньше у нас можно было установить любой пароль из 6 символов, теперь же требования к паролям куда жестче. Минимум 8 символов, наличие цифр, букв и т.д.
  • В паре мест пользователь мог увидеть в адресной строке свой токен. Это не является особой проблемой, но мы скрыли токены абсолютно везде;
  • У нашего саппорта и разработчиков есть инструменты для проверки прав у токенов и проверки ответа API. Например, мы передавали сюда https://developers.facebook.com/tools/debug/accesstoken/ токен пользователя и смотрели на права. Теперь у нас есть свой инструмент для этого, т.е. наши сотрудники не имеют доступа к токену, видят только результат. Аналогично и для проверки работы с API, раньше формировался URL, по которому мы могли смотреть результат выполнения. А теперь внутренний инструмент дает результат, и не показывает токен;
  • Мы сами везде используем двухфакторную авторизацию в важных местах, сейчас активнее следим и за нашими сотрудниками.

Зачем мы об этом всем рассказываем?

Facebook с каждым днем изобретает все новые способы делать работу своих партнеров прозрачнее. Все это исключительно в интересах пользователей. Эта проверка — еще один важный пункт в усилении работы нашей платформы и доказательства того, что сервис LiveDune — белый. Если бы мы ее не прошли, у нас просто-напросто забрали доступ к API. Оценка коснулась не всех компаний, а только крупных, у кого много подключений через авторизацию FB. Возможно, в следующем году будет новый этап, когда будут проверять компании поменьше.

Как думаете, заказывать себе пентесты за 800 к — это лишнее или все же необходимая процедура для таких компаний, как наша?

22
Начать дискуссию