Кратко, что сегодня произошло на дтф

примерно в 13:30 по Мск сайт забаговал
при загрузке любой страницы людей начало "логинить" в чужие аккаунты с полным доступом ко всему (upd. пишут и про отправку комментариев, видимо просто на любом реквесте)
минут через 30 после начала инцидента всех принудительно разлогинили и отключили действие логин
через 2 часа после начала инцидента починили и удалили все посты за последние 2 часа

Личные переписки, черновики, все, потенциально, слито.

Есть посты про про мошеннический вывод донатов с их аккаунтов в период бага.

(upd. тут был один пример такого вывода, который оказался шуткой, я не заметил тег у того поста. Потенциально из-за этой ошибки комитета возможность вывести чужие деньги себе в карман была, воспользовался ей кто-то или нет, не так важно. В любом случае, это обязанность комитета предоставить доказательства, было ли это технически возможно или нет, а не моя.)

upd. Актуально для юзеров, пользовавшихся API дтф. Tentacle Tenticals обратил внимание, что в багованный период мог быть также угнан ваш API токен. Я не вижу в настройках кнопки "сгенерировать новый токен", т.е. самостоятельно вырубить имеющийся токен сейчас, видимо, невозможно. Даже если бы такая кнопка была, дтф обязан сам на всякий случай инвалидировать со своей стороны все токены, сгенерированные до конца времени действия инцидента. Сломалось это надо сделать сейчас.

FYI если у вас что-то конкретное сломалось, можно тегать @Сломалось прямо в комментариях, он отвечает

3 часа спустя никаких комментариев от комитета или @Филипп Концаренко не поступало.

upd. ну вот и весь ответ спустя 5ч

DTF

29.11.2023

Друзья, как вы заметили, у нас произошел сбой в работе сайта. Базовая функциональность восстановлена, но мы ещё продолжаем разбираться в причинах. Извините за временные неудобства.

upd. более подробный ответ спустя сутки

DTF

30.11.2023

Сбой на DTF 29 ноября 2023 года

Что случилось, сколько пользователей пострадало, какие данные других пользователей смогли увидеть пользователи.

Удаление постов за багованный период - правильное решение с одной стороны, т.к. было много "мошеннических" постов под чужими логинами, с другой, все легитимные посты с описанием происходящего тоже были удалены, постю только поэтому.

Слабое утешение, есть ощущение, что юзеров логинило только в ограниченный пул аккаунтов, среди постов "меня принудительно залогинило в этот аккаунт" одни и те же аккаунты повторялись множество раз. возможно, затронуло только аккаунты, кто был онлайн на дтф в багованный период, но это только догадки.

Еще одно утешение, надо отметить, что это явно был не направленный взлом для кражи данных, а непреднамеренный провал самого дтф.

В основном были безобидные рофлы в виде шитпостинга под чужим акком, большинство постило только о самой этой проблеме.

Тем не менее, это самый большой треш за все существование дтф.

Предлагаю всем спамить концаренко тегами, пока комментарии не поступят.

Предлагаю всем отменить подписку плюс, пока не поступят объяснения по инциденту.

Я абсолютно точно не предлагаю жаловаться в РКН. Это зашквар. Если у вас таки действительно вывели деньги, жалуйтесь уж тогда в роспотребнадзор.

P.S. я в чс у концаренко, тегать его под этим постом, наверное, бессмысленно, предлагаю всем постить в офтоп/сломалось/драму посты на тему произвольного содержания до поступления объяснений.

#чужиелогины2023